Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: ChristianW am 05.03.15 - 11:15:17

Titel: SSL Zertifikat keyring
Beitrag von: ChristianW am 05.03.15 - 11:15:17

Hallo,
wir haben vor ca 2 Jahren eine Keyring-Datei erstellt, anschließend ein Zertifikat und dieses signieren lassen. Alles wunderbar.
Das Zertifikat ist auch noch gültig.
Jetzt ist es so, dass sich unser Firmenname geändert hat. Wir würden gerne unseren iNotes-Zugriff auf eine neue Domain verlegen und am besten zusätzlich noch über den alten Weg möglich sein.
Da aber in der Keyring-Datei das Feld "Organisation" den alten Firmennamen beinhaltet, kann ich hierüber kein neues Zertifikat erstellen.
Kann ich eine zweite Keyring-Datei erstellen? Oder den Firmennamen ändern?
Wie kann ich am besten vorgehen?


Christian

Titel: Re: SSL Zertifikat keyring
Beitrag von: Tode am 05.03.15 - 11:20:52

Keyrings kann man so viele erstellen wie man will... Einfach einen neuen mit den neuen Informationen erstellen, und den dann auf dem Server benutzen statt des alten.

Aber ACHTUNG: Wenn Du heute einen keyring erstellst, solltest Du einen aktuellen Hash- Algorythmus verwenden (SHA256), eine aktuelle Schlüssellänge (min. 2048, besser 4096) und auch TLS statt SSL, sonst kann in Kürze kein einziger Benutzer mehr auf Dein iNotes zugreifen, weil die Browser den Zugriff (wegen der Poodle- Attacke) nicht mehr zulassen...

Das wiederum heisst: Dein iNotes- Server muss zwangsläufig auf 9.0.1FP3 (oder höher, gibt es aktuell aber nicht) sein...

Also: Einfach keyring tauschen wird in Deinem Fall nicht helfen.

Den neuen Keyring musst Du dann über ein neues IBM- Tool namens "kyrtool" erstellen, und nicht mehr über die Datenbank.

Siehe diesen Link für offizielle Zertifikate (http://www-10.lotus.com/ldd/dominowiki.nsf/dx/3rd_Party_SHA-2_with_OpenSSL_and_kyrtool) und diesen Link für Self Signed Zertifikate (http://www-10.lotus.com/ldd/dominowiki.nsf/dx/Self-signed_SHA-2_with_OpenSSL_and_kyrtool)

Titel: Re: SSL Zertifikat keyring
Beitrag von: ChristianW am 05.03.15 - 11:36:29

Danke für die schnelle Antwort... dann schau ich mir mal die Links an.

Titel: Re: SSL Zertifikat keyring
Beitrag von: Pfefferminz-T am 05.03.15 - 13:16:28

Vielleicht auch nicht unwichtig... Du schreibst, dass der Server über den alten und den neuen Domänennamen verfügbar sein soll. Im Domino kannst Du aber das Zertifikat nur auf einen der beiden Hostnamen ausstellen! Die Nutzer des anderen Namens werden dann im Web-Browser eine Warnmeldung bekommen, da das zurückgelieferte Zertifikat nicht mit dem angefragten Hostnamen übereinstimmt.

Gruß,
Thorsten

Titel: Re: SSL Zertifikat keyring
Beitrag von: Tode am 05.03.15 - 13:51:52

Richtig. Wichtiger Hinweis, Danke dafür.
Mehrere verschiedene zertifikate für verschiedene Domains gehen nur, wenn man für jede Domain eine eigene IP- Adresse auf dem Domino hat (weil die Entscheidung für ein Zertifikat im Fall von Internet- Site- Dokumenten passiert, bevor die URL ausgelesen wird, und diese Entscheidung nur auf IP- Ebene gefällt werden kann.

Titel: Re: SSL Zertifikat keyring
Beitrag von: umi am 05.03.15 - 15:04:55

Moin

Oder man verwendet einen anständigen Proxy (Nginx, Apache) der SNI unterstützt für das SSL zeugs. Dann klappts auch mit nur 1er IP.