Keyrollover/Schlüsselstärke aktualisieren

[Bastel123]

Hallo,

bei uns ist Lotus Notes mit folgenden Versionen Einsatz.
Domino: 10.0.1 FP3 auf AIX 7.2
Lotus: 10.0.1 FP3
Server: 3
User: ca. 600

Das System wurde im Jahr 2000 aufgesetzt. Seitdem wurde am Rootzertifizierer nichts geändert. Er hat noch eine Schlüsselstärke von 512 Bits und ist mit 64 bit RC2 verschlüsselt.

Die Server haben eine Schlüsselstärke von 630 Bits.

Die User variieren von 530 bis 2048 Bits.

Die ID-Vault hat 2048 Bits (aufgesetzt 2019)

Der CA-Prozess läuft.


Jetzt stellt sich die Frage ob ich das System auf eine aktuelle Schlüsselstärke (2048 oder 4096 Bits) updaten soll?

Dafür spricht meiner Meinung nach, dass das System (nur Applikationen, keine User-Mailboxen) noch mindestens 5 Jahre lebt.
Es soll demnächst einen Providerwechsel geben und ich würde gerne drei neue Server aufsetzen um einige Altlasten zu bereinigen.
Die neuen Server IDs würde ich gerne mit einem aktuellen Rootzertifikat erzeugen.

Dagegen spricht, dass es ein kleines System ist welches von ein paar kleinen Macken abgesehen läuft (never touch a running system).

Falls die Antwort Ja ist würde ich wie folgt vorgehen.

1. Rezertifizieren des Rootzertifizierers
Vorgehen wie bei HCL beschrieben:
https://help.hcltechsw.com/domino/10.0.1/conf_recertifyingacertifieridorauserid_t.html


2. Rezertifizieren der Server
Vorgehen wie bei HCL beschrieben:
https://help.hcltechsw.com/domino/10.0.1/admn_recertifyingaserverid_t.html


3. Rezertifizieren der User
die User werden über den Administrator in Blocks von 50 rezertifiziert

4. Rezertifizieren der ID-Vault
siehe:
https://atnotes.de/index.php?topic=62518.0
http://www.eldeng.it/2019/03/25/id-vault-default-certificate-expiration-is-on-the-way/


Ich habe einige Fragen:
- Ist das Szenario so ok?
- Ist die Reihenfolge richtig?
- Wie lange dauern die einzelnen Schritte und sollte ein zeitlicher Abstand zwischen den einzelnen Schritten sein, damit alle Prozesse in Ruhe durchlaufen können?
- Sperre ich die User aus (z.B. Freitag Mittag), mache einen Snapshot der drei Maschinen und starte dann die Rezertifizierung des Rootzertifizierers?
- Welche Fallen gibt es?

Soviel fürs erste. Für alle Anregungen bin ich dankbar.

[JürgenT]

Hallo Sebastian,

da ich vor der gleichen Aufgabe stehe, wollte ich mal nachfragen, ob du schon die Umstellung wie beschrieben durchgeführt hast
und ob das auch funktioniert hat.

Grüße
Jürgen

[Patrick Schneider]

Bei HCL gibt es eine komplette und ausführliche Anleitung dazu:
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0040539

Viele Grüße,
Patrick

[Bastel123]

@Jürgen,

ich habe noch nichts unternommen, da bei dem Kunden die Dominoadministration auf das notwendigste beschränkt wurde. Jetzt scheint langsam wieder Bewegung in das Thema zu kommen. Aber Priorität hat jetzt erstmal der Serverumzug, auch wenn ich das für ungünstig halte. Aber es ist wie es ist.

@Patrick,

vielen Dank für den Hinweis. Das werde ich mir mal genauer anschauen. Schade nur, das einige Links ins Leere laufen.

[Patrick Schneider]

@Patrick,

vielen Dank für den Hinweis. Das werde ich mir mal genauer anschauen. Schade nur, das einige Links ins Leere laufen.

Die meisten IBM-Technotes gibt es bei HCL ja mittlerweile auch.
In der Regel hilft es, bei https://hclpnpsupport.hcltech.com/csm den swg* Teil in das Suchfeld zu kippen.
 http://www-01.ibm.com/support/docview.wss?uid=swg27006424 -> swg27006424
Wenn es nicht gefunden wird (wie hier leider der Fall): Ticket bei HCL aufmachen, dass das Dokument fehlt und den Orignal-IBM Link mitgeben, dann wird das auch noch veröffentlicht.
Ansonsten: die Waybackmachine ( https://archive.org/web/ ) kann auch eingeschränkt helfen:
https://web.archive.org/web/20131022025701/http://www-01.ibm.com/support/docview.wss?uid=swg27006424

Viel Erfolg!
Patrick

[JürgenT]

Hallo Patrick,

vielen Dank für die Infos.

Grüße

Jürgen