Letsencrypt und Domino - hat das jemand automatisiert?

[Tode]

Ich habe für meinen privaten Domino bisher die kostenlosen Zertifikate von StartCOM verwendet. Diese werden aber von Chrome und Firefox nicht mehr als "sicher" akzeptiert. Also muss ich mir eine andere Alternative suchen und bin bei Let's encrypt gelandet.

Das Einbinden eines Let's Encrypt- Zertifikats via kyrtool / openssl ist ja kein Hexenwerk, dafür habe ich mein Vorgehen, das kostet mich keine 5 Minuten. Aber dummerweise muss man das ja alle 90 Tage machen (und darf es nicht vergessen).

Ich habe gesehen, es gibt ein OpenNTF- Projekt, das die Webserver- Seite abhandelt (also den Hash- Wert liefert, wenn Let's- Encrypt den abfragt).

Ausserdem gibt es mit certbot ein Linux- basiertes Tool, was Chron- gesteuert die Zertifikate runterladen kann.

Da mein Server auf Linux läuft, wäre mein Ansatz jetzt:

- Die Datenbank vom OpenNTF- Projekt um einen Agenten erweitern, der regelmäßig läuft
- Der ruft den certbot auf, der speichert das aktuelle Zertifikat.
- Dann das kyrtool aufrufen, um das Zertifikat über import certs einzulesen
- http neustart (obwohl das u.U. nicht nötig ist, ich meine, der liest die kyr- Datei selbständig regelmässig neu ein.

Ist ja alles in allem nur wenig code (<100 Zeilen), deshalb meine Frage: Hat das schon jemand umgesetzt?

[JoachimB]

Noch nichts gefunden.
Mache das bei uns auch Immer noch Manuell.

[umi]

Moin
Warum nicht mit einem Nginx Proxy vor dem Domino? https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-16-04

[Tode]

wird mir in meiner Umgebung zu komplex. Ich habe schon ein Programm vorgeschaltet, der HTTPS und SSH auf Port 443 unterscheidet und dementsprechend intern weiterroutet, wenn ich da nochmal einen Webserver zwischensetze, wird mir das zu komplex...

[Flachmann]

Ich habe mich aufgrund dieses Artikels auch mit LetsEncrypt versucht. Danke für den Hinweis.    Es gibt für die Windows-Umgebung https://github.com/Lone-Coder/letsencrypt-win-simple. Hat damit schon jemand Erfahrungen?

Die Idee ist letztlich die Zertifizierung zu automatisieren, wie bei Tode. Da ich aber kein SSL-Experte bin, tue ich mich aber schon mit dem Start schwer.

Mein Aufruf lautet:

Code

letsencrypt.exe --emailaddress adresse@somewhere.de --usedefaulttaskuser --accepttos --manualhost host.de --webroot "D:\Domino\Data\html"

Dies erzeugt folgende Dateien:
host.de-all.pfx
host.de-chain.pem
host.de-crt.der
host.de-crt.pem
host.de-csr.pem
host.de-gen-csr.json
host.de-gen-key.json
host.de-key.pem
ca-C70C419800000154857B6A0B85ECA718-crt.pem

Es werden sicher nur die .pem-Dateien benötigt.
-key.pem ist wohl mein privatekey;
-chain.pem ist wohl mein chain.pem;
-crt.pem ist wohl mein cert.pem;
für die -crt.pem habe ich keine Idee. - Die .pfx, .der und .json- Dateien sind wohl für IIS oder sonst etwas.

Ich habe auch die Root- und Intermediate-Zertifikate von https://letsencrypt.org/certificates/ runter geladen:
"SRG Root X1 (self-signed)", "Let’s Encrypt Authority X3 (IdenTrust cross-signed)" und "Let’s Encrypt Authority X3 (Signed by ISRG Root X1)".

Dann alle Zertifikate in eine Datei kopiert und geprüft:

Code

kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" verify "server.txt"

Das liefert:
       KyrTool v1.1

Successfully read 2048 bit RSA private key
INFO: Successfully read 4 certificates
INFO: Private key matches leaf certificate
INFO: IssuerName of cert 0 matches the SubjectName of cert 1
ERROR: IssuerName of cert 1 does NOT match the SubjectName of cert 2
INFO: IssuerName of cert 2 matches the SubjectName of cert 3
INFO: Final certificate in chain is self-signed

Der ERROR kommt aus der -chain.pem, die zwei Zertifikate enthält. Wenn ich das zweite Zertifikat entferne, läuft das ohne ERROR durch. Komisch.

Wenn ich dies dann in meinen Keyring installiere (kein Fehler) und die HTTP-Task neu starte, habe ich folgende Ergebnisse:

In Firefox:
https://host.de/            -> Kein Problem! Zertifikat ist OK
https://www.host.de/    -> SSL_ERROR_BAD_CERT_DOMAIN

In Chrome:
https://host.de/            -> meldet das Zertifikat der Seite als unsicher
https://www.host.de/    -> meldet das Zertifikat der Seite als unsicher

In IE:
https://host.de/            -> meldet das Zertifikat der Seite als unsicher, erlaubt dann das aber zu ignorieren
https://www.host.de/    -> meldet das Zertifikat der Seite als unsicher, erlaubt dann das aber zu ignorieren


Hat jemand eine Idee? Ist wahrscheinlich nur eine Kleinigkeit, aber ich probiere schon eine gefühlte Ewigkeit rum; lasse mal dieses, mal jenes Zertifikat weg.

[JoachimB]

Das Letsencrypt Win Simple unterstützte bei mir nur einen Hostnamen und genau dafür gilt das Zertifikat dann nur.
Also so wie du das angegeben hast gilt es dann halt nur für host.de nicht für www.host.de

Da Ich die Zertifikate weiterhin mit der Hand erstelle nutze ich dafür einen Webseiten basierten LetsEncrypt Client.
https://www.sslforfree.com/

Da gebe Ich dann einfach alle Varianten und Domains an die Ich brauche also immer:
host.de www.host.de host2.de www.host2.de

@Edit:
Übersicht der möglichen LetsEncrypt Clients: https://letsencrypt.org/docs/client-options/
Anleitung wie man das in Domino einbaut und welche Dateien man benötigt:
https://xomino.com/2016/02/18/adding-your-lets-encrypt-ssl-certificate-into-your-domino-keyring-file/

[Flachmann]

Hallo JoachimB,

danke für den Tipp. Die Liste der Clients und die Anleitung von Marky Roden kannte ich schon. Letzte war die Anleitung, die ich als Einstieg verwendete. Lediglich geht er dann über einen Unix-Client, was ich ja vermeiden möchte.

'SSL For Free' habe ich probiert und auf der Startseite meine beiden Host-Adressen eingegeben. host.de und www.host.de (um beim Beispiel zu bleiben). Dann die beiden Prüf-URLs auf dem Domio-Server aktiviert und letztlich wurden Zertifikate erstellt. Die konnte ich als .zip-Datei runterladen. Inhalt:
ca_bundle.crt
certificate.crt
private.key

Damit ist kyrtool aber auch nicht zufrieden:
        KyrTool v1.1

Successfully read 2048 bit RSA private key
INFO: Successfully read 2 certificates
ERROR: Private key does not match leaf certificate
ERROR: IssuerName of cert 0 does NOT match the SubjectName of cert 1
WARNING: Final certificate in chain is not self-signed

Auch mit den Root- und Intermediate-Zertifikaten von oben sieht es nicht besser aus.
isrgrootx1.pem
lets-encrypt-x3-cross-signed.pem
letsencryptauthorityx3.pem


Jetzt stehe ich total auf dem Schlauch. Wie machst Du das denn?

[JoachimB]

Ich habe auf dem Domino leider nur einen direkten Hostnamen ohne www beim Domino Server (host1.host.de).

Da Ich auch die Zertifikate für 2 weitere Web Server erstelle wo wir keine Root Rechte habe nutze ich dort für Normale Web Adressen genau das.

Hast du das ohne www als erstes angegeben (host.de) das würde ich versuchen, der Domino wird bestimmt versuchen sich damit abzugleichen.

[Flachmann]

Wenn Du nur eine Host-Adresse hast, würde doch letsencrypt-win-simple für Dich genügen, oder? Dann könntest Du das über einen einfachen Batch-Prozess laufen lassen.

Das www. wird nicht automatisch mit akzeptiert. S.o.:
In Firefox:
https://host.de/            -> Kein Problem! Zertifikat ist OK
https://www.host.de/    -> SSL_ERROR_BAD_CERT_DOMAIN

[Tode]

Erst mal eine Antwort für Flacchmann:

Die Datei für Verify muss die Daten in der RICHTIGEN REIHENFOLGE enthaten:

1. Key
2. DEIN Zertifikat (certificate.crt)
3. Chain (ca_bundle.crt)
4. Root (bei mir war im Bundle die Root nicht mit drin, die musste ich manuell runterladen und hinzufügen)

Dann klappt auch das Verify und der Import.

Da ich auf Linux bin, habe ich mir aber jetzt das ganze drumherum gespart und einfach die vorhandenen Werkzeuge verwendet und date mit einem Chron- Job ab.

1. Zertifikate mittels certbot erstellen / updaten:

ERSTELLEN:
./certbot-auto certonly --webroot -w /local/notesdata/domino/html -d www.meinedomain.de -d meinedomain.de -d sub.anderedomain.de

UPDATEN:
./certbot-auto renew

Das erstellt im Verzeichnis /etc/letsencrypt/live/www.meinedomain.de die nötigen Dateien.

2. Root- Zertifikat runterladen und ins Verzeichnis als root.pem stellen

3. kyr Datei generieren (einmalig)
/opt/ibm/domino/bin/tools/startup kyrtool =/local/notesdata/notes.ini create -k /local/notesdata/letsencrypt-multi.kyr -p MyFancyPassword

4. Datei für kyrtool generieren
cat privkey.pem fullchain.pem root.pem >letsencrypt-multi.txt

5. Datei prüfen
/opt/ibm/domino/bin/tools/startup kyrtool =/local/notesdata/notes.ini verify /etc/letsencrypt/live/www.familylink.de/letsencrypt-multi.txt

6. Datei importieren
/opt/ibm/domino/bin/tools/startup kyrtool =/local/notesdata/notes.ini import all -k /local/notesdata/letsencrypt-multi.kyr -i /etc/letsencrypt/live/www.familylink.de/letsencrypt-multi.txt

7. http durchstarten

Die --webroot- Option erstellt innerhalb des Domino- Html- Verzeichnisses die nötigen Challenge- Dateien automatisch, und so lange der Domino läuft und diese ausliefert, läuft das Ding automatisch durch.

Der http- Task liest immer bei Gelegenheit die neuen Zertifikate ein - VOILA.. Und wenn nicht, reicht ein tell http restart.
Da ich aber sowieso den Domino für Backup Nachts kurz runterfahre, ist spätestens am nächsten tag das erneuerte Zertifikat vorhanden.

[Flachmann]

Ok, danke. Dass die Reihenfolge bedeutsam ist, war mir nicht klar. Mal sehen, wie weit ich jetzt komme.

[Flachmann]

Leider tut's immer noch nicht, vielleicht kannst Du ja nochmal Klarheit bringen. Der Aufruf von letsencrypt-win-simple erzeugt diese fünf .pem-Dateien:

host.de-chain.pem  <- ca-bundle? Enthält zwei Zertifikate, beginnen mit BEGIN CERTIFICATE
host.de-crt.pem    <- mein Zertifikat? Startet mit BEGIN CERTIFICATE
host.de-csr.pem    <- weiß nicht was das ist, beginnt mit BEGIN CERTIFICATE REQUEST, wird wohl nicht benötigt
host.de-key.pem    <- private key, BEGIN RSA PRIVATE KEY
ca-0C0142490000B4B38A72640585ECF408-crt.pem  <- dies ist das Issuer-Zertifikat; BEGIN CERTIFICATE

Außerdem habe ich mir noch diese Root- und Intermediate-Zertifikate von Let's Encrypt runter geladen:
isrgrootx1.pem
lets-encrypt-x3-cross-signed.pem
letsencryptauthorityx3.pem

Das ganze habe ich dann zusammen kopiert mit

Code

TYPE host.de-key.pem host.de-crt.pem host.de-chain.pem letsencryptauthorityx3.pem isrgrootx1.pem > "F:\Cert\server.txt"

Die Prüfung mittels

Code

kyrtool ="C:\Program Files\IBM\Domino\notes.ini" verify "F:\Cert\server.txt"

liefert dann diverse Fehlermeldungen
Successfully read 2048 bit RSA private key
INFO: Successfully read 5 certificates
INFO: Private key matches leaf certificate
ERROR: IssuerName of cert 0 does NOT match the SubjectName of cert 1
INFO: IssuerName of cert 1 matches the SubjectName of cert 2
ERROR: IssuerName of cert 2 does NOT match the SubjectName of cert 3
INFO: IssuerName of cert 3 matches the SubjectName of cert 4
INFO: Final certificate in chain is self-signed


Ich habe schon verschiedene Reihenfolgen probiert, komme aber auf keine Kombination, die nur INFO-Meldungen erzeugt.

Wie kann man denn feststellen, welche Zertifikate fehlen bzw. wo die Reihenfolge klemmt (nerv)?

[Tode]

Ich würde sagen, Du brauchst host.de-key.pem, host.de-chain.pem (wenn Du vergleichst, ist vermutlich das erste Zertifikat aus chain = dem zertifikat aus host.de-crt.pem) und ca-.....pem. Installier Dir auf jeden Fall mal openssl light for win, damit kannst Du die Dateien untersuchen, wenn das so immer noch nicht geht.

[Flachmann]

Ich bin inzwischen auch etwas weiter gekommen und Deine Vermutung ist wohl korrekt! Mit

Code

kyrtool show certs -i <pem-Datei>

kann man so nach und nach die Zertifikatsinformationen anzeigen (wusste ich zuvor nicht):

Using PEM file path 'isrgrootx1.pem'
Subject:       CN=ISRG Root X1/O=Internet Security Research Group/C=US
Issuer:         CN=ISRG Root X1/O=Internet Security Research Group/C=US

Using PEM file path 'letsencryptauthorityx3.pem'
Subject:       CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US
Issuer:         CN=ISRG Root X1/O=Internet Security Research Group/C=US

Using PEM file path 'IdenTrust_root.pem'
Subject:       CN=DST Root CA X3/O=Digital Signature Trust Co.
Issuer:         CN=DST Root CA X3/O=Digital Signature Trust Co.

Using PEM file path 'lets-encrypt-x3-cross-signed.pem'
Subject:       CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US
Issuer:         CN=DST Root CA X3/O=Digital Signature Trust Co.

Using PEM file path 'host.de-crt.pem'
Subject:       CN=host.de
Issuer:         CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US

Using PEM file path 'host.de-chain.pem'
Subject:       CN=host.de
Issuer:         CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US

Subject:       CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US
Issuer:         CN=DST Root CA X3/O=Digital Signature Trust Co.

Using PEM file path 'ca-0C0142490000B4B38A72640585ECF408-crt.pem'
Subject:       CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US
Issuer:         CN=DST Root CA X3/O=Digital Signature Trust Co.


Vor privaten Key abgesehen baut sich die Kette (umgekehrt) dann so auf:
isrgrootx1.pem - als Root ISRG Root X1
letsencryptauthorityx3.pem - als Intermediate Let's Encrypt Authority X3
host.de-crt.pem - mit meinem Host-Zertifikat host.de

Nach Import und Neustart der HTTP-Task ist FF absolut zufrieden (!), IE und Chrome nicht, weil das Root-Zertifikat nicht akzeptiert wird. Aber immerhin habe ich eine Menge gelernt, "kyrtool verify" ist zufrieden und die Kette ist nun komplett.  

Jetzt müsste ich noch wissen, wie man gleichzeitig auch den zweiten Zertifizierungspfad über DST Root CA X3 einbindet.

[Flachmann]

Bsp.: unser allseits geliebtes https://atnotes.de/ nutzt ebenfalls LetsEncypt und funktioniert für FF und IE gleichermaßen, nutzt aber unterschiedliche Root-Zertifikate (s. Anhänge).

Während FF auf "ISRG Root X1" verweist, nutzt IE "DST Root CA X3" (weil im IE das ISRG Root X1 noch nicht akzeptiert wird). Wie bekommt man diese Kombination auch für Domino hin?

Es geht wohl sicher wieder um die Reihenfolge der Dateien...

Denn wir haben im Prinzip jetzt 2 Root-Dateien (isrgrootx1.pem und IdenTrust_root.pem) und 2 Intermediate-Dateien (letsencryptauthorityx3.pem und lets-encrypt-x3-cross-signed.pem), die alle irgendwie auf host.de verweisen.

[Tode]

Gute Frage... ich habe bei mir das DST Root CS X3 eingebunden, und sowohl IE als auch Chrome und Firefox akzeptieren dieses Zertifikat...

[Flachmann]

Das ergibt wohl auch am meisten Sinn, als wenn derzeit nur FF das Zertifikat...

Dennoch müsste doch auch die gemeinsame Nutzung irgendwie möglich sein, halt so wie atnotes.de das auch macht.

[Tode]

Atnotes is aber nicht Domino... Du könntest mal probieren mit kyrtool import roots -i .... die beiden verschiedenen Roots und intermediates zu importieren... aber ob der Domino das handlen kann, weiss ich nicht

[Flachmann]

Danke, Torsten, Du bist mein Hero der Woche!  

Es klappt perfekt und meine Site läuft jetzt sowohl mit FF als auch mit IE und Chrome, auch mit Mobil, mit unterschiedlichen Root-Zertifikaten. Es wird tatsächlich das jeweils benötigte geliefert bzw. verwendet. Freu! Du hast definitiv ein Bier bei mir gut!  

Ich bereite noch eine kleine Doku vor und packe die in die "Best Practices", dann kann das jeder nachvollziehen und adaptieren.

[Tode]

Das freut mich, dass das so einfach klappt. Musstest Du dann die "andere" Version des Zwischenzertifikats auch mit importieren?