Domino 9 und frühere Versionen > ND9: Administration & Userprobleme

Letsencrypt und Domino - hat das jemand automatisiert?

(1/7) > >>

Tode:
Ich habe für meinen privaten Domino bisher die kostenlosen Zertifikate von StartCOM verwendet. Diese werden aber von Chrome und Firefox nicht mehr als "sicher" akzeptiert. Also muss ich mir eine andere Alternative suchen und bin bei Let's encrypt gelandet.

Das Einbinden eines Let's Encrypt- Zertifikats via kyrtool / openssl ist ja kein Hexenwerk, dafür habe ich mein Vorgehen, das kostet mich keine 5 Minuten. Aber dummerweise muss man das ja alle 90 Tage machen (und darf es nicht vergessen).

Ich habe gesehen, es gibt ein OpenNTF- Projekt, das die Webserver- Seite abhandelt (also den Hash- Wert liefert, wenn Let's- Encrypt den abfragt).

Ausserdem gibt es mit certbot ein Linux- basiertes Tool, was Chron- gesteuert die Zertifikate runterladen kann.

Da mein Server auf Linux läuft, wäre mein Ansatz jetzt:

- Die Datenbank vom OpenNTF- Projekt um einen Agenten erweitern, der regelmäßig läuft
- Der ruft den certbot auf, der speichert das aktuelle Zertifikat.
- Dann das kyrtool aufrufen, um das Zertifikat über import certs einzulesen
- http neustart (obwohl das u.U. nicht nötig ist, ich meine, der liest die kyr- Datei selbständig regelmässig neu ein.

Ist ja alles in allem nur wenig code (<100 Zeilen), deshalb meine Frage: Hat das schon jemand umgesetzt?

JoachimB:
Noch nichts gefunden.
Mache das bei uns auch Immer noch Manuell.

umi:
Moin
Warum nicht mit einem Nginx Proxy vor dem Domino? https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-16-04

Tode:
wird mir in meiner Umgebung zu komplex. Ich habe schon ein Programm vorgeschaltet, der HTTPS und SSH auf Port 443 unterscheidet und dementsprechend intern weiterroutet, wenn ich da nochmal einen Webserver zwischensetze, wird mir das zu komplex...

Flachmann:
Ich habe mich aufgrund dieses Artikels auch mit LetsEncrypt versucht. Danke für den Hinweis.  :)  Es gibt für die Windows-Umgebung https://github.com/Lone-Coder/letsencrypt-win-simple. Hat damit schon jemand Erfahrungen?

Die Idee ist letztlich die Zertifizierung zu automatisieren, wie bei Tode. Da ich aber kein SSL-Experte bin, tue ich mich aber schon mit dem Start schwer.

Mein Aufruf lautet:

--- Code: ---letsencrypt.exe --emailaddress adresse@somewhere.de --usedefaulttaskuser --accepttos --manualhost host.de --webroot "D:\Domino\Data\html"
--- Ende Code ---

Dies erzeugt folgende Dateien:
host.de-all.pfx
host.de-chain.pem
host.de-crt.der
host.de-crt.pem
host.de-csr.pem
host.de-gen-csr.json
host.de-gen-key.json
host.de-key.pem
ca-C70C419800000154857B6A0B85ECA718-crt.pem

Es werden sicher nur die .pem-Dateien benötigt.
-key.pem ist wohl mein privatekey;
-chain.pem ist wohl mein chain.pem;
-crt.pem ist wohl mein cert.pem;
für die -crt.pem habe ich keine Idee. - Die .pfx, .der und .json- Dateien sind wohl für IIS oder sonst etwas.

Ich habe auch die Root- und Intermediate-Zertifikate von https://letsencrypt.org/certificates/ runter geladen:
"SRG Root X1 (self-signed)", "Let’s Encrypt Authority X3 (IdenTrust cross-signed)" und "Let’s Encrypt Authority X3 (Signed by ISRG Root X1)".

Dann alle Zertifikate in eine Datei kopiert und geprüft:

--- Code: ---kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" verify "server.txt"
--- Ende Code ---

Das liefert:
       KyrTool v1.1

Successfully read 2048 bit RSA private key
INFO: Successfully read 4 certificates
INFO: Private key matches leaf certificate
INFO: IssuerName of cert 0 matches the SubjectName of cert 1
ERROR: IssuerName of cert 1 does NOT match the SubjectName of cert 2
INFO: IssuerName of cert 2 matches the SubjectName of cert 3
INFO: Final certificate in chain is self-signed

Der ERROR kommt aus der -chain.pem, die zwei Zertifikate enthält. Wenn ich das zweite Zertifikat entferne, läuft das ohne ERROR durch. Komisch.

Wenn ich dies dann in meinen Keyring installiere (kein Fehler) und die HTTP-Task neu starte, habe ich folgende Ergebnisse:

In Firefox:
https://host.de/            -> Kein Problem! Zertifikat ist OK
https://www.host.de/    -> SSL_ERROR_BAD_CERT_DOMAIN

In Chrome:
https://host.de/            -> meldet das Zertifikat der Seite als unsicher
https://www.host.de/    -> meldet das Zertifikat der Seite als unsicher

In IE:
https://host.de/            -> meldet das Zertifikat der Seite als unsicher, erlaubt dann das aber zu ignorieren
https://www.host.de/    -> meldet das Zertifikat der Seite als unsicher, erlaubt dann das aber zu ignorieren


Hat jemand eine Idee? Ist wahrscheinlich nur eine Kleinigkeit, aber ich probiere schon eine gefühlte Ewigkeit rum; lasse mal dieses, mal jenes Zertifikat weg.

Navigation

[0] Themen-Index

[#] Nächste Seite