Autor Thema: Wie aktiviert man https  (Gelesen 6830 mal)

Offline Manni Ciao

  • Junior Mitglied
  • **
  • Beiträge: 82
Wie aktiviert man https
« am: 07.01.16 - 15:07:53 »
Wie aktiviert man https

Liebe Notes-Gemeinde,

meine Anforderung ist, das Öffnen einer Notes Anwendung (firmenintern) über den Browser mit https (http funktioniert)..

Da unsere Domino Server nicht von aussen, sondern nur über das firmeninterne Netzwerk erreichbar sind und es auch baw bleiben soll, habe ich leider Null Kenntnisse zu diesem Kapitel (SSL, CA-Zertifikat, Serverschlüsselringdatei, TLS ..)
Ich entschuldige mich im Vorhinein, falls diese Frage zu einfach oder zu umfangreich für einen Forumseintrag ist.


Fehlermeldung:
Diese Seite kann nicht angezeigt werden.
Aktivieren Sie in den erweiterten Einstellungen TLS 1.0, TLS 1.1 und TLS 1.2, und versuchen Sie erneut, eine Verbindung mit https://ln002p02  herzustellen.

Domino 9.01FP4

Vielen Dank
Manni


PS: Ich hoffe, dass ich mir eventuell ein paar Punkte ersparen könnte:

1.Richten Sie die Serverzertifikatsadministration ein (CERTSRV.NSF), die von Domino automatisch bei der Serverkonfiguration erstellt wird.
2.Erstellen Sie die Serverschlüsselringdatei, in der das Serverzertifikat gespeichert wird.
3.Fordern Sie ein SSL-Serverzertifikat von der Zertifizierungsstelle an.
4.Fügen Sie das CA-Zertifikat als Wurzelinstanz in die Schlüsselringdatei ein.
5.Die Zertifizierungsstelle bestätigt die Anforderung eines Serverzertifikats und sendet eine Benachrichtigung, dass Sie das Zertifikat entgegennehmen können.
6.Fügen Sie das bestätigte Serverzertifikat der Schlüsselringdatei hinzu.
7.Konfigurieren Sie den Port für SSL

Offline Mr.Langhaar

  • Junior Mitglied
  • **
  • Beiträge: 70
  • Geschlecht: Männlich
  • It´s not a Bug. It´s a feature !
Re: Wie aktiviert man https
« Antwort #1 am: 07.01.16 - 15:57:11 »
Hallo Manni,

seit 9.0.1 FP3 benötigst du das KyrTool und nicht mehr die CERTSRV.NSF

http://www.ibm.com/support/docview.wss?uid=swg21418982
http://www.lotus.com/ldd/dominowiki.nsf/dx/kyrtool?open

Aber ersparen kannst du dir die Punkte nicht, da must du durch

Gruß
Thomas
Seit R5.0 mit dabei
Server 9.0.1
Clients 9.0.1
Blackberry 12.5/Traveler 9
Sametime 8.5.2
MarvelClient

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Wie aktiviert man https
« Antwort #2 am: 07.01.16 - 16:08:43 »
Wie Thomas schon gesagt hat: Das ist jetzt alles Kommandozeilenbasiert, die certsrv hat ausgedient.

Hier eine Schritt- für- Schritt- Anleitung. Du brauchst openssl und das kyrtool.

Hier mal eine Vorlage, die ich immer verwende: Ich mache dann in einem text- Editor ein einfaches Search & Replace auf ZZZZZ und führe dann die einzelnen Schritte nacheinander per Copy & Paste in eine Kommandozeile aus. Du musst natürlich bei Dir noch die Pfade austauschen...

Die beiden Zeilen unter "Wenn Self cert" brauchst Du nur, wenn Du wie in Deinem Fall ein selbst ausgestelltes Zertifikat verwendest...

Zitat
Ins Verzeichnis wechseln, in dem die Zertifikate erstellt werden sollen (Im Beispiel E:\certificates\)

E:\MyExecutables\OpenSSL-Win64\bin\openssl.exe genrsa -out ZZZZZ.key 4096
E:\MyExecutables\OpenSSL-Win64\bin\openssl.exe req -new -sha256 -key ZZZZZ.key -out ZZZZZ.csr

Wenn Self cert:
E:\MyExecutables\OpenSSL-Win64\bin\openssl.exe x509 -req -days 7300 -sha256 -in ZZZZZ.csr -signkey ZZZZZ.key -out ZZZZZ.pem

E:\IBM\Lotus\Notes\kyrtool.exe =E:\IBM\Lotus\Notes\notes.ini create -k E:\certificates\ZZZZZ.kyr -p ZZZZZpassword

Nach Erhalt des Zertifikats ZZZZZ.txt erstellen mit:
1. server key file (ZZZZZ.key)
2. signed server certificate (von Zulassungsstelle oder ZZZZZ.pem wenn self cert)

NUR WENN NICHT SELF CERT:

3. first intermediate certificate
4. second intermediate ( kann je nach Zertifizierungsstelle auch wegfallen oder sogar noch um third intermediate erweitert werden)
5. root certificate

E:\IBM\Lotus\Notes\kyrtool.exe =E:\IBM\Lotus\Notes\notes.ini verify ZZZZZ.txt
E:\IBM\Lotus\Notes\kyrtool.exe =E:\IBM\Lotus\Notes\notes.ini import all -k E:\certificates\ZZZZZ.kyr -i ZZZZZ.txt
E:\IBM\Lotus\Notes\kyrtool.exe =E:\IBM\Lotus\Notes\notes.ini show keys -k E:\certificates\ZZZZZ.kyr
E:\IBM\Lotus\Notes\kyrtool.exe =E:\IBM\Lotus\Notes\notes.ini show certs -k E:\certificates\ZZZZZ.kyr




Signer Zertifikate prüfen:

E:\MyExecutables\OpenSSL-Win64\bin\openssl x509 -in ZZZZZ.crt -text -noout
« Letzte Änderung: 23.03.21 - 15:38:25 von Tode »
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Manni Ciao

  • Junior Mitglied
  • **
  • Beiträge: 82
Re: Wie aktiviert man https
« Antwort #3 am: 12.01.16 - 10:59:32 »
Herzlichen Dank, für eure Antworten! Es scheint mir sehr kompliziert zu sein und werde es beizeiten von einem Admin-Profi einrichten lassen.

Offline Hauerli

  • Frischling
  • *
  • Beiträge: 16
Re: Wie aktiviert man https
« Antwort #4 am: 26.01.16 - 12:23:31 »
Hi ,

Das Thema ist wohl schon etwas älter, aber ich würde hier gerne mit einer Frage anknüpfen.

Ich habe mir zu test zwecken von startssl ein kostenloses Zertifikat erstellen lassen.
Nun habe ich ein Root.crt,intermediate.crt und ein weiteres crt erhalten.
den Keyring habe ich schon mit dem kyrtool erstellt.

1.) wenn ich das ZZZ.txt erstelle, schreibe ich einfach in jede Zeile die entsprechende Dateinamen ?
2.) Das Server.key File woher bekomme ich das? Kann ich dies auch nachträglich noch irgendwie exportieren ? Wenn ja wie ?

Danke schon mal


EDIT: Ich habe meinen Fehler erkannt, ich dachte ich benötige OPENSSL nicht, da ich die csr damals über die CERTSVR beantragt hatte, aber das war glaub ich ein fehler.

« Letzte Änderung: 26.01.16 - 12:38:47 von Hauerli »

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Wie aktiviert man https
« Antwort #5 am: 26.01.16 - 12:47:04 »
Du musst Dir bei Startssl Den Private key runterladen, der für Dein CSR generiert wurde... Wenn Du den nicht gespeichert hast, dann darfst Du von vorne anfangen und musst leider einen neuen Hostnamen auswählen (oder das andere Zertifikat kostenpflichtig revoken).

Dann erstellst Du die Textdatei mit den Inhalten (einfach untereinander kopieren) von:

- Private key (siehe oben)
- Zertifikat von startssl
- intermediate.crt
- root.crt

ACHTUNG: Reihenfolge beachten!

Wenn Du das alles sauber gemacht hast, dann sagt kyrtool ... verifiy ZZZ.txt dass alles ok ist, und Du kannst es importieren.
« Letzte Änderung: 26.01.16 - 12:49:05 von Tode »
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Hauerli

  • Frischling
  • *
  • Beiträge: 16
Re: Wie aktiviert man https
« Antwort #6 am: 26.01.16 - 13:46:02 »
Hi ,


Ich habe meinen private key selbst erstellt, habe danach das csr angelegt und damit die zertifikate auf startssl beantragt.
danach habe ich die txt datei erstellt mit dem TYPE command und die richtige reihenfolge beachtet.

als letztes habe ich alle schritte von dir befolgt und auch keine Fehler Meldung bekommen.

die .kyr und .sth datei habe ich auf dem server in den data ordner kopiert.

danach bin ich in die Administrationskonsole vom server habe den namen der kyr datei hinterlegt und die entsprechenden einstellungen gesetzt wie sie in jedem tutorial empholen werden.

leider funktioniert der zugriff immernoch nicht.
wenn ich mich mich per http auf die seite connecte klappts, sobald ich https benutze heist es "Diese Webseite ist nicht verfügbar."


EDIT: Habe "tell http restart" vergessen am ende :D, jetzt funktioniert es super geil !! VIELEN VIELEN DANK !! ohne die Anleitung wär das nie was geworden :D
« Letzte Änderung: 26.01.16 - 13:48:16 von Hauerli »

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz