Das Notes Forum
Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: Manni Ciao am 07.01.16 - 15:07:53
-
Wie aktiviert man https
Liebe Notes-Gemeinde,
meine Anforderung ist, das Öffnen einer Notes Anwendung (firmenintern) über den Browser mit https (http funktioniert)..
Da unsere Domino Server nicht von aussen, sondern nur über das firmeninterne Netzwerk erreichbar sind und es auch baw bleiben soll, habe ich leider Null Kenntnisse zu diesem Kapitel (SSL, CA-Zertifikat, Serverschlüsselringdatei, TLS ..)
Ich entschuldige mich im Vorhinein, falls diese Frage zu einfach oder zu umfangreich für einen Forumseintrag ist.
Fehlermeldung:
Diese Seite kann nicht angezeigt werden.
Aktivieren Sie in den erweiterten Einstellungen TLS 1.0, TLS 1.1 und TLS 1.2, und versuchen Sie erneut, eine Verbindung mit https://ln002p02 herzustellen.
Domino 9.01FP4
Vielen Dank
Manni
PS: Ich hoffe, dass ich mir eventuell ein paar Punkte ersparen könnte:
1.Richten Sie die Serverzertifikatsadministration ein (CERTSRV.NSF), die von Domino automatisch bei der Serverkonfiguration erstellt wird.
2.Erstellen Sie die Serverschlüsselringdatei, in der das Serverzertifikat gespeichert wird.
3.Fordern Sie ein SSL-Serverzertifikat von der Zertifizierungsstelle an.
4.Fügen Sie das CA-Zertifikat als Wurzelinstanz in die Schlüsselringdatei ein.
5.Die Zertifizierungsstelle bestätigt die Anforderung eines Serverzertifikats und sendet eine Benachrichtigung, dass Sie das Zertifikat entgegennehmen können.
6.Fügen Sie das bestätigte Serverzertifikat der Schlüsselringdatei hinzu.
7.Konfigurieren Sie den Port für SSL
-
Hallo Manni,
seit 9.0.1 FP3 benötigst du das KyrTool und nicht mehr die CERTSRV.NSF
http://www.ibm.com/support/docview.wss?uid=swg21418982
http://www.lotus.com/ldd/dominowiki.nsf/dx/kyrtool?open
Aber ersparen kannst du dir die Punkte nicht, da must du durch
Gruß
Thomas
-
Wie Thomas schon gesagt hat: Das ist jetzt alles Kommandozeilenbasiert, die certsrv hat ausgedient.
Hier (https://www-10.lotus.com/ldd/dominowiki.nsf/dx/Self-signed_SHA-2_with_OpenSSL_and_kyrtool) eine Schritt- für- Schritt- Anleitung. Du brauchst openssl und das kyrtool.
Hier mal eine Vorlage, die ich immer verwende: Ich mache dann in einem text- Editor ein einfaches Search & Replace auf ZZZZZ und führe dann die einzelnen Schritte nacheinander per Copy & Paste in eine Kommandozeile aus. Du musst natürlich bei Dir noch die Pfade austauschen...
Die beiden Zeilen unter "Wenn Self cert" brauchst Du nur, wenn Du wie in Deinem Fall ein selbst ausgestelltes Zertifikat verwendest...
Ins Verzeichnis wechseln, in dem die Zertifikate erstellt werden sollen (Im Beispiel E:\certificates\)
E:\MyExecutables\OpenSSL-Win64\bin\openssl.exe genrsa -out ZZZZZ.key 4096
E:\MyExecutables\OpenSSL-Win64\bin\openssl.exe req -new -sha256 -key ZZZZZ.key -out ZZZZZ.csr
Wenn Self cert:
E:\MyExecutables\OpenSSL-Win64\bin\openssl.exe x509 -req -days 7300 -sha256 -in ZZZZZ.csr -signkey ZZZZZ.key -out ZZZZZ.pem
E:\IBM\Lotus\Notes\kyrtool.exe =E:\IBM\Lotus\Notes\notes.ini create -k E:\certificates\ZZZZZ.kyr -p ZZZZZpassword
Nach Erhalt des Zertifikats ZZZZZ.txt erstellen mit:
1. server key file (ZZZZZ.key)
2. signed server certificate (von Zulassungsstelle oder ZZZZZ.pem wenn self cert)
NUR WENN NICHT SELF CERT:
3. first intermediate certificate
4. second intermediate ( kann je nach Zertifizierungsstelle auch wegfallen oder sogar noch um third intermediate erweitert werden)
5. root certificate
E:\IBM\Lotus\Notes\kyrtool.exe =E:\IBM\Lotus\Notes\notes.ini verify ZZZZZ.txt
E:\IBM\Lotus\Notes\kyrtool.exe =E:\IBM\Lotus\Notes\notes.ini import all -k E:\certificates\ZZZZZ.kyr -i ZZZZZ.txt
E:\IBM\Lotus\Notes\kyrtool.exe =E:\IBM\Lotus\Notes\notes.ini show keys -k E:\certificates\ZZZZZ.kyr
E:\IBM\Lotus\Notes\kyrtool.exe =E:\IBM\Lotus\Notes\notes.ini show certs -k E:\certificates\ZZZZZ.kyr
Signer Zertifikate prüfen:
E:\MyExecutables\OpenSSL-Win64\bin\openssl x509 -in ZZZZZ.crt -text -noout
-
Herzlichen Dank, für eure Antworten! Es scheint mir sehr kompliziert zu sein und werde es beizeiten von einem Admin-Profi einrichten lassen.
-
Hi ,
Das Thema ist wohl schon etwas älter, aber ich würde hier gerne mit einer Frage anknüpfen.
Ich habe mir zu test zwecken von startssl ein kostenloses Zertifikat erstellen lassen.
Nun habe ich ein Root.crt,intermediate.crt und ein weiteres crt erhalten.
den Keyring habe ich schon mit dem kyrtool erstellt.
1.) wenn ich das ZZZ.txt erstelle, schreibe ich einfach in jede Zeile die entsprechende Dateinamen ?
2.) Das Server.key File woher bekomme ich das? Kann ich dies auch nachträglich noch irgendwie exportieren ? Wenn ja wie ?
Danke schon mal
EDIT: Ich habe meinen Fehler erkannt, ich dachte ich benötige OPENSSL nicht, da ich die csr damals über die CERTSVR beantragt hatte, aber das war glaub ich ein fehler.
-
Du musst Dir bei Startssl Den Private key runterladen, der für Dein CSR generiert wurde... Wenn Du den nicht gespeichert hast, dann darfst Du von vorne anfangen und musst leider einen neuen Hostnamen auswählen (oder das andere Zertifikat kostenpflichtig revoken).
Dann erstellst Du die Textdatei mit den Inhalten (einfach untereinander kopieren) von:
- Private key (siehe oben)
- Zertifikat von startssl
- intermediate.crt
- root.crt
ACHTUNG: Reihenfolge beachten!
Wenn Du das alles sauber gemacht hast, dann sagt kyrtool ... verifiy ZZZ.txt dass alles ok ist, und Du kannst es importieren.
-
Hi ,
Ich habe meinen private key selbst erstellt, habe danach das csr angelegt und damit die zertifikate auf startssl beantragt.
danach habe ich die txt datei erstellt mit dem TYPE command und die richtige reihenfolge beachtet.
als letztes habe ich alle schritte von dir befolgt und auch keine Fehler Meldung bekommen.
die .kyr und .sth datei habe ich auf dem server in den data ordner kopiert.
danach bin ich in die Administrationskonsole vom server habe den namen der kyr datei hinterlegt und die entsprechenden einstellungen gesetzt wie sie in jedem tutorial empholen werden.
leider funktioniert der zugriff immernoch nicht.
wenn ich mich mich per http auf die seite connecte klappts, sobald ich https benutze heist es "Diese Webseite ist nicht verfügbar."
EDIT: Habe "tell http restart" vergessen am ende :D, jetzt funktioniert es super geil !! VIELEN VIELEN DANK !! ohne die Anleitung wär das nie was geworden :D