Domino 9 und frühere Versionen > ND9: Administration & Userprobleme

SSL Zertifikat von Windows AD in Zertifikat von Windows AD in Domino integrieren

(1/3) > >>

maxritti:
Hallo zusammen,

ich habe da mal eine allgemeine Frage zum Thema SSL auf einem Dominoserver.
Bin in der Thematik nicht wirklich drin und schon einiges gesucht, komme aber nicht wirklich weiter.

Wir sollen auf unserem Travelerserver ein neues SSL Zertifikat installieren, da das derzeit existierende self signed nicht mehr ausreichend ist.
Nun soll ein SSL Zertifikat von Windows AD für den Travelerserver generiert werden. In welche Form uns das dann zugestellt wird, ist noch unklar.

Nun habe ich aber so die Frage, wie kann das dann in Domino integeriert werden?
Die Artikel, welche ich so im Internet finde besagen so sehe ich, dass auf dem Domino zunächst ein Certificats Request erstellen muss und dieser dann weiter verarbeitet werden muss.
Ist das so, dass initiall auf dem Domino was gemacht werden muss oder kann ein komplett vom AD geliefertes Zertifikat in Domino integriert werden?
Wenn ja, hat dazu jemand Tips, wie das geht?

Danke schön für etwaige Tips.

Manfred W.:
Hallo,

also grundsätzlich ist es so, dass du für Domino die Zertifikate in einem Keyring file (.kyr) benötigst.
Der normale Weg bei Domino 9 wäre, eine Server Certificate Admin Datenbank anzulegen. Die generiert dann das Keyring file, den privaten Schlüssel und einen Zertifikatsrequest. Diesen Zertifikatsrequest müssen die AD Jungs dann verwenden um das Zertifikat zu generieren (damit das Zertifikat zum privaten Schlüssel passt).
Wenn du das Zertifikat dann hast, musst du zuerst das CA Zertikat (und evtl. Intermediate Zertikate - also die gesamte Zertifikatskette) mittels des Server Certificate Admins importieren, und dann das Zertifikat des Servers. Dann die .kyr und .sth Datei ins Notes Data des Server kopieren, und den Namen der .kyr Datei ins Server Dokument eintragen (Internet Ports).

Es gibt aber auch den Weg über das kyrtool am Server (Kommandozeilen-Tool) - bei Domino 11 ist das der Standard-Weg, da gibt es die Server Certificate Admin Datenbank nicht mehr. Damit kannst du auch einen Keyring erstellen und ein komplett vom AD geliefertes Zertifikat (inkl. privaten Schlüssel) importieren.
Dafür wäre die Anleitung zu Domino 11 ein guter Anlaufpunkt:
https://help.hcltechsw.com/domino/11.0.1/admin/conf_settingupsslonadominoserver_t.html

Grüße
Manfred

maxritti:
Danke Dir schon mal.

Den zweite Punkt mit dem kyrtool könnte ich dann auch dem Domino 9 Server nutzen?
D.h. auf einem 10er (wo es das ja auch gibt) oder 11er Server den Keyring erstellen, dann importieren und das dann auf dem 9er Traveler nutzen?

Wobei ich doch eher zum 9er Server passend den ersten Weg wählen würde.
Aber irgendwie finde ich das Template für die "Server Certificate Admin Datenbank" nicht. Heisst doch normalerweise certsrv.ntf?
Haben die mir hier wohl geklaut.  :-\

maxritti:
Jetzt habe ich die existierende DB einfach mal kopiert, einen neuen Key Ring erstellt und dann einen Certificate Request.
Diesen haben die AD Jungs bekommen und lieferten mir nun dies:

servername_base64.cer
servername_base64.p7b
servername_der.cer
servername_der.p7b

Das sind angeblich die Zertifikate.

Wenn ich nun aber per "Install Trusted Root Certificate" auf den Dateien ausführe kommt dies:

"Cannot find certificate issuer among trusted roots"

Die beiden ersten sind mit notepad lesbar, da habe ich "Base 64 encoding" gewählt, steht ja auch im Dateinamen.  :)
Bei den letzten beiden "Binary file format"

Hast Du dazu eine Idee?
Muss das zurück an die AD Kollegen?

/EDIT:


--- Zitat ---musst du zuerst das CA Zertikat
--- Ende Zitat ---

Das war noch nicht dabei. Mal schauen wie weit ich nun kommen.

CarstenH:
Ich würde die (m.E. hoffnungslos veraltete) DB links liegen lassen und die Schritte manuell per Kommandozeile ausführen, zum einen weißt du dann was du tust und was passiert und zum anderen entspricht das sowieso der empfohlenen Vorgehensweise.

Nimm dazu die HCL Anleitung (PDF), die man findet, wenn man dem Link von Manfred an der richtigen Stelle folgt:

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0073309&sys_kb_id=4afe8c9e1bcb041483cb86e9cd4bcbb2

HTH
Carsten

Navigation

[0] Themen-Index

[#] Nächste Seite