Einbindung des SSL Zertifikats für den Traveler

[naruto25]

Hallo Gemeinde,

ich muss demnächst das Zertifikat vom Traveler erneuern, da die ausläuft. Die neue .cert-Datei steht mir bereits zur Verfügung. Jedoch weiß ich nicht, wie genau das neue Zertifikat eingebunden wird. Ich schaue auch bereits überall im Netz nach Anleitungen etc. (auch hier im Netz) und das verwirrt mich nur mehr. Von IBM steht zwar eine Anleitung drin, aber ich weiß nicht, ob ich mich danach halten soll, da mich die Frage einholt, ob wirklich so viele Schritte gemacht werden muss.

Beispiel Anleitung die ich habe: http://www-01.ibm.com/support/docview.wss?uid=swg21268695

Da ich nicht der Experte bin, wollte ich mich hier noch einmal bei den Profis erkundigen, bevor ich das total kaputt mache.
Die Fragen die mich aktuell beschäftigen: Ist das wirklich ein Aufwand mehreren Stunden?
Gibt es eine einfache und/oder verständlichere Schritt-für-Schritt-Anleitung?
Unser Traveler befindet sich in der DMZ, abgegrenzt von den anderen Notes-Servern.
Version: 9.0.1 FP10 HF 197

Ich danke im Voraus für jede hilfreichen Beiträge.

Viele Grüße,
Tobias

[umi]

Moin

Wenn Dir das Cert schon zur Verfügung steht , schau mal hier ab Schritt 5 https://www-10.lotus.com/ldd/dominowiki.nsf/dx/3rd_Party_SHA-2_with_OpenSSL_and_kyrtool

[naruto25]

Vielen Dank.

[the.kringel]

Moin, moin!

Ich pushe diesen Thread nochmal ein bisschen: Hat jemand einen Link zu Dokumentation bei HCL dazu? Oder Schlagwörter? Meine Suche unter https://help.hcltechsw.com/traveler/9.0.1/search.html?searchQuery=exchange+ssl+certificate war wenig erfolgreich.

Schöne Grüße,
k

[DomAdm]

Hallo,
hier gibt es die Anleitungen:
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0073175
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0073309

[shiraz]

oder so:

Creating SHA-2 4096 SSL Certificates for Domino

1.   Download the latest “lite” version of OpenSSL from here and install it on your Windows machine where you have Domino Administrator running.  I installed it in c:\openssl for example
2.   Download the kyrtool from here and copy the executable to your Notes program directory
3.   Set the environment variable for OpenSSL by typing in a command prompt
Set OpenSSL_Conf=c:\openssl\bin\openssl.cfg (or whatever your path is)
4.   Now we create our keypair using OpenSSL.  From C:\OpenSSL\bin directory type
“openssl genrsa -out server.key 4096”
obviously you can use any name if you don’t want to use server.key and you don’t have to create a 4096 strength keypair.  When finished you should have a file in that directory called server.key
5.   Now you have your keypair you need to create a CSR to send to the certificate authority
openssl req -new -sha256 -key server.key -out server.csr
the server.key name must match what you created in step 5 so if you used a different name there you need to use that name here. Similarly your server.csr filename can be anything you like.  When you enter this command be prepared to answer all the questions about the certificate you want generated including the common name etc.  The CSR this generates will be uploaded to your CA (Verisign, GoDaddy, Thawte, whoever) and your SSL certificate created based on the answers you give to those questions.
6.   Now we need to create a keyring file ready to add to certificate into when the CA sends it back.  Go to your Notes program directory and run the kyrtool
kyrtool  create -k c:\notes\data\keyring.kyr -p <passwordyouwanttouse>
again the keyring.kyr file can be called anything you like.  Once run you should have both a keyring.kyr and keyring.sth files in your data directory
7.   By now your CA should have sent you your certificate as well as some trusted and intermediate root certificates for their issuer.  We are going to create a single text file that contains the server.key we generated in step 5, the SSL certificate the CA just sent us (usually a .crt or .pem file) and any intermediate or root certificates the CA needs us to use.  Doing this is very simple.  Go to your c:\openssl\bin directory (the one where your server.key file was created) and enter
type server.key server.crt intermediate.crt root.crt >server.txt
note all the filenames will be specific to whatever you were sent by your CA.  If you were sent a single bundle then you would use server.key bundlename.crt for instance
8.   To verify your server.txt is created successfully your can validate it using the kyrtool.  Go back to your c:\notes program directory and type
kyrtool verify <path to server.txt>
9.   Now we import our server.txt will all the certificates into our newly created keyring file we created in step 7
kyrtool import all -k c:\notes\data\keyring.kyr -i c:\openssl\bin\server.txt
again your filenames and paths may vary depending on what you chose
And that’s it.  You now have a keyring (kyr) file and stashed password file (sth) you can copy to you Domino 9.x servers and use.  If you want to validate the keys are correctly in the file then you can again use the kyrtool
kyrtool show keys -k c:\notes\data\keyring.kyr  AND
kyrtool show certs -k c:\notes\data\keyring.kyr

oder https://www.madicon.de/notes-domino/ssl-zertifikate/

[the.kringel]

Vielen Dank

[tfrenz]

Hallo, oder das ganze mit Letsencrypt und der DB von Mindpoint.
Das verwende ich und bin zufrieden, das ich hier nichts mehr machen muss.
https://www.midpoints.de/de-solutions-LE4D
Gruß Thomas