Domino 9 und frühere Versionen > ND9: Administration & Userprobleme
SSL Zertifikat erneuern
Tode:
ALSO: Um ein Zertifikat anzufragen braucht man einen Request, einen sogenannten CSR. Diesen sendet man an die ausstellende Stelle.
Der CSR wird von einem Private Key erzeugt.
Während Du das kyr- file erzeugt hast, hast Du auch einen Private key erzeugt (den man mittels kyrtool auch extrahieren könnte, braucht man aber nicht).
WENN Dein Einkauf den selben CSR vom letzten Mal benutzt hat, dann hast Du überhaupt kein Problem: Du importierst einfach die neue Zertifikatskette über
kyrtool.exe =D:\HCL\Notes\notes.ini import certs -k D:\ZZZZZ.kyr -i ZZZZZ.txt
WENN die sich selbst einen CSR gerechnet haben ODER einen CSR von jemand anderem verwendet haben, dann brauchst Du unweigerlich den zu dem CSR gehörigen Schlüssel.
Gibt es diesen Schlüssel nicht: Pech gehabt... Dann müsst ihr das Zertifikat neu beantragen, oder aber Du verwendest -wie Ulrich schreibt- LE4D: Ist kostenlos, sicher, und Du musst Dich -einmal eingerichtet- NIE MEHR um Zertifikatsverlängerung kümmern (so lange Letsencrypt gültige Zertifikate ausstellt).
netzgoetter:
Man kann bei einigen offiziellen Zertifizierungsstellen / Zertifikatsanbietern als Beispiel PSW bei einer Verlängerung auch den "alten" initialen CSR verwenden.
Dann ist es immer noch der alte vorhandene private Key und es muß lediglich der signierte CSR in die KYR Datei neu importiert werden.
Tode:
Vollkommen korrekt, das meinte ich mit meiner Aussage "WENN Dein Einkauf den selben CSR vom letzten Mal benutzt hat...".
Aber danke, dass Du darauf nochmal explizit hingewiesen hast. Eurer LE4D ist aber trotzdem definitiv die bessere Wahl.
Bruce Willis:
--- Zitat von: eknori am 01.07.20 - 05:13:59 ---Gut, muss ich jetzt nicht verstehen ( zu wenig Informationen )
Nimm https://www.midpoints.de/de-solutions-LE4D Funktioniert bestens, und spart eine Menge Geld.
--- Ende Zitat ---
Vielen Dank für den Vorschlag!
Zur Erklärung:
Der Einkauf hatte bloß deren übliche "Verlängerung" bestellt, was bei unseren anderen Systemen (außer Notes) auch OK ist. Der Verkäufer hat für die neuen Zertifikate unseren alten CSR verwendet. Aber die alte server.key Datei haben wir nicht mehr. Wir haben jetzt den neuen CSR gemacht und die neuen Zertifikate ersetzen lassen.
Tode:
Aber Du BRAUCHST doch die server.key gar nicht... Der Key ist doch in der kyr- Datei mit drin...
Einfach mit dem von mir geposteten Befehl das Zertifikat ins kyr- file importieren und gut ist...
Und wenn Du unbedingt den "import all" Befehl nutzen willst, dann machst Du vorher ein
kyrtool.exe =D:\HCL\Notes\notes.ini show keys -k ZZZZZ.kyr
Dann kopierst Du Dir den angezeigten Private key da raus und fügst ihn in Deine Text- Datei ein in der Reihenfolge
kopierter key
Myname.cert
OU- Cert
OU- Cert
Root- Cert
Das sieht dann so aus:
--- Code: --------BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAvJGvF
...
Zaom3x6SbbooKHPGHTuhe
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
MIIGgDCCBWigAwIBAgITe
...
KZoWGm53rw3MI/d57cXl
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIF8jCCBNqgAwIBA
...
vbsv9cGkTExgc=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIF8jCCBNqgAwIBA
...
vbsv9cGkTExgc=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDgz
...
pwoEHQwxopC1
-----END CERTIFICATE-----
--- Ende Code ---
Ob Du alles richtig zusammenkopiert hast, kannst Du ja mit dem Befehl
kyrtool.exe =D:\HCL\Notes\notes.ini verify ZZZZZ.txt
prüfen.
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln