SSL Zertifikat von Windows AD in Zertifikat von Windows AD in Domino integrieren

[maxritti]

Hallo zusammen,

ich habe da mal eine allgemeine Frage zum Thema SSL auf einem Dominoserver.
Bin in der Thematik nicht wirklich drin und schon einiges gesucht, komme aber nicht wirklich weiter.

Wir sollen auf unserem Travelerserver ein neues SSL Zertifikat installieren, da das derzeit existierende self signed nicht mehr ausreichend ist.
Nun soll ein SSL Zertifikat von Windows AD für den Travelerserver generiert werden. In welche Form uns das dann zugestellt wird, ist noch unklar.

Nun habe ich aber so die Frage, wie kann das dann in Domino integeriert werden?
Die Artikel, welche ich so im Internet finde besagen so sehe ich, dass auf dem Domino zunächst ein Certificats Request erstellen muss und dieser dann weiter verarbeitet werden muss.
Ist das so, dass initiall auf dem Domino was gemacht werden muss oder kann ein komplett vom AD geliefertes Zertifikat in Domino integriert werden?
Wenn ja, hat dazu jemand Tips, wie das geht?

Danke schön für etwaige Tips.

[Manfred W.]

Hallo,

also grundsätzlich ist es so, dass du für Domino die Zertifikate in einem Keyring file (.kyr) benötigst.
Der normale Weg bei Domino 9 wäre, eine Server Certificate Admin Datenbank anzulegen. Die generiert dann das Keyring file, den privaten Schlüssel und einen Zertifikatsrequest. Diesen Zertifikatsrequest müssen die AD Jungs dann verwenden um das Zertifikat zu generieren (damit das Zertifikat zum privaten Schlüssel passt).
Wenn du das Zertifikat dann hast, musst du zuerst das CA Zertikat (und evtl. Intermediate Zertikate - also die gesamte Zertifikatskette) mittels des Server Certificate Admins importieren, und dann das Zertifikat des Servers. Dann die .kyr und .sth Datei ins Notes Data des Server kopieren, und den Namen der .kyr Datei ins Server Dokument eintragen (Internet Ports).

Es gibt aber auch den Weg über das kyrtool am Server (Kommandozeilen-Tool) - bei Domino 11 ist das der Standard-Weg, da gibt es die Server Certificate Admin Datenbank nicht mehr. Damit kannst du auch einen Keyring erstellen und ein komplett vom AD geliefertes Zertifikat (inkl. privaten Schlüssel) importieren.
Dafür wäre die Anleitung zu Domino 11 ein guter Anlaufpunkt:
https://help.hcltechsw.com/domino/11.0.1/admin/conf_settingupsslonadominoserver_t.html

Grüße
Manfred

[maxritti]

Danke Dir schon mal.

Den zweite Punkt mit dem kyrtool könnte ich dann auch dem Domino 9 Server nutzen?
D.h. auf einem 10er (wo es das ja auch gibt) oder 11er Server den Keyring erstellen, dann importieren und das dann auf dem 9er Traveler nutzen?

Wobei ich doch eher zum 9er Server passend den ersten Weg wählen würde.
Aber irgendwie finde ich das Template für die "Server Certificate Admin Datenbank" nicht. Heisst doch normalerweise certsrv.ntf?
Haben die mir hier wohl geklaut. 

[maxritti]

Jetzt habe ich die existierende DB einfach mal kopiert, einen neuen Key Ring erstellt und dann einen Certificate Request.
Diesen haben die AD Jungs bekommen und lieferten mir nun dies:

servername_base64.cer
servername_base64.p7b
servername_der.cer
servername_der.p7b

Das sind angeblich die Zertifikate.

Wenn ich nun aber per "Install Trusted Root Certificate" auf den Dateien ausführe kommt dies:

"Cannot find certificate issuer among trusted roots"

Die beiden ersten sind mit notepad lesbar, da habe ich "Base 64 encoding" gewählt, steht ja auch im Dateinamen.  
Bei den letzten beiden "Binary file format"

Hast Du dazu eine Idee?
Muss das zurück an die AD Kollegen?

/EDIT:

musst du zuerst das CA Zertikat

Das war noch nicht dabei. Mal schauen wie weit ich nun kommen.

[CarstenH]

Ich würde die (m.E. hoffnungslos veraltete) DB links liegen lassen und die Schritte manuell per Kommandozeile ausführen, zum einen weißt du dann was du tust und was passiert und zum anderen entspricht das sowieso der empfohlenen Vorgehensweise.

Nimm dazu die HCL Anleitung (PDF), die man findet, wenn man dem Link von Manfred an der richtigen Stelle folgt:

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0073309&sys_kb_id=4afe8c9e1bcb041483cb86e9cd4bcbb2

HTH
Carsten

[maxritti]

Danke Carsten.
Dann schaue ich da mal vorbei.

Müssen die Kollegen dann halt noch mal neue Zertifikate bauen.
Mal schauen ob ich Prügel bekomme. 

[Manfred W.]

Also von den Dateien die du hast, würde ich die base64.cer nehmen.
Wie du schon richtig erkannt hast, brauchst du erst noch das Root Zertifikat (und evtl. Zwischenzertifikate) von der AD CA.

In der Server Certificate Admin Datenbank installierst du mit "Install Trusted Root Certificate Into Key Ring" die CA Zertifikate von oben nach unten, also erst Root und dann die evtl. Zwischenzertifikate.
Und dann mit "Install Certificate Into Key Ring" das Zertifikat des Domino Servers.


Oder du fängst nochmal von vorne an und machst das mit dem kyrtool. Aber so schlimm finde ich die Server Certificate Admin Datenbank auch nicht.

[maxritti]

Hat jetzt funktioniert.
Zumindest sagt mir die DB, es sei alles gut. 

Mal schauen wann wir eine kleine Downtime machen können um das zu testen.

Wobei die von Carsten und Dir angegebene Doku schon ausgedruckt hier liegt.

Vielen Dank an Euch beide.

[DomAdm]

Hallo,

Zur Beachtung:

https://support.hcltechsw.com/csm?sys_kb_id=10db1ca81b2df30083cb86e9cd4bcb50&id=kb_article_view&sysparm_rank=1&sysparm_tsqueryId=2606ccb21bf29890beab64e6ec4bcbfe

"At the time of writing the Domino Server Certificate Admin database has not been upgraded to handle SHA-2 certificates."

"However due to the fact that any key ring file created with the Server Certificate Admin database will have MD5 signatures, the steps have been removed due to the issues surrounding key ring files with MD5 signatures and TLSv1.2 as outlined in the following technote http://www-01.ibm.com/support/docview.wss?uid=swg21701159

The only solution is to follow the steps to use OpenSSL and the new Domino KYRTool to create a new
certificate and key ring.

http://www-10.lotus.com/ldd/dominowiki.nsf/dx/3rd_Party_SHA-2_with_OpenSSL_and_kyrtool"

[DomAdm]

Das noch:
https://support.hcltechsw.com/csm?sys_kb_id=08fccb9d1bedc05c77761fc58d4bcbb5&id=kb_article_view&sysparm_rank=14&sysparm_tsqueryId=b998407e1b369890beab64e6ec4bcb8a

"Previously, Domino servers used the Domino Server Certificate Admin database to manage keyrings and server certificates. However, this database does not allow for importing SHA-2 certificates. It is now recommended to only use SHA-2 certificates for SSL, due to security concerns

Because of this limitation with the Server Certificate Admin database, the documentation on using it in Domino Administrator Help and earlier revisions of this technote should not be used when an SSL certificate is required on a Domino server."

[maxritti]

Danke auch Dir DomAdm.

Darum liebe ich dieses Forum.
Kompetente und schnelle Hilfe.