Nach langatmigem Lernpfad möchte ich Euch eine Anleitung für Let's Encrypt für Domino unter Windows nicht vorenthalten. Let's Encrypt https://letsencrypt.org/ (https://letsencrypt.org/) erstellt kostenlose TLS/SSL-Zertifikate, die auch für Domino nutzbar sind. Einziger Nachteil ist, dass diese Zertifikate nur für drei Monate ausgestellt werden, d.h. es empfiehlt sich alle zwei Monate eine Erneuerung durch zu führen um genügend Zeit zur Implementierung zu haben.
Es sind einige Anleitungen in INet zu finden, aber die, die ich bislang fand, beziehen sich auf Unix-Umgebungen. Vielen Dank an Tode für die Unterstützung beim Domino-Teil.
Wichtige Links:
- Download letsencrypt-win-simple für Windows: https://github.com/Lone-Coder/letsencrypt-win-simple/releases Das Paket dann irgendwohin "installieren" (d.h. den Inhalt kopieren).
- Doku letsencrypt-win-simple-Wiki: https://github.com/Lone-Coder/letsencrypt-win-simple/wiki/Command-Line-Arguments
- Download IBM Keyring-Tool von IBM 'Fix Central': https://www.ibm.com/support/fixcentral/swg/quickorder?parent=ibm%7ELotus&product=ibm/Lotus/Lotus+Domino&release=9.0.1.2&platform=All&function=fixId&fixids=KYRTool_9x_ClientServer&includeSupersedes=0&source=fc Aus dem Paket wird für Windows nur die w64- bzw. w32-Version benötigt. Die EXE irgendwohin "installieren" (d.h. den Inhalt kopieren).
- Doku IBM Keyring-Tool: https://www-10.lotus.com/ldd/dominowiki.nsf/dx/kyrtool
- Download LetsEncryt Root-Zertifikate: https://letsencrypt.org/certificates/ Gebraucht werden "ISRG Root X1 (self-signed)" und die aktiven "Let’s Encrypt Authority X3 (Signed by ISRG Root X1)" und "Let’s Encrypt Authority X3 (IdenTrust cross-signed)". Ich habe die Dateien in .pem umbenannt und in den Ordner F:\Cert abgelegt!
Die IdenTrust-Version und Schritt 3c unten werden nur solange benötigt, solange das Let's Encrypt-Root-Zertifikat noch nicht von allen Browsern aktzeptiert wird.
Interessante, weiterführende Links:
- https://atnotes.de/index.php/topic,61007.0.html
- https://www-01.ibm.com/support/docview.wss?uid=swg21268695
- https://xomino.com/2016/02/09/using-lets-encrypt-to-create-an-ssl-certificate-for-my-bluemix-hosted-web-site/
- https://xomino.com/2016/02/18/adding-your-lets-encrypt-ssl-certificate-into-your-domino-keyring-file/
1. Aufruf von letsencrypt-win-simple
letsencrypt-win-simple funktioniert interaktiv, d.h. Programm aufrufen und die abgefragten Informationen eingeben. Das empfiehlt sich definitiv fürs erste Mal!
Für die weitere Verwendung empfiehlt sich im Batch-Betrieb dieser Aufruf:
letsencrypt.exe --emailaddress email@me.com --san --manualhost host.de,www.host.de --webroot "F:\Domino\Data\domino\html"
--warmup --plugin Manual --usedefaulttaskuser --accepttos --notaskscheduler --closeonfinish
E·Mail und Host müssen natürlich angepasst werden. Durch --webroot "F:\Domino\Data\domino\html" werden die LetsEnrypt-Prüfdateien direkt im Domino\Data-Verzeichnis erstellt.
Mit --san --manualhost host.de,www.host.de werden Zertifikate für diese beiden Adressen erzeugt. Wenn man nur eine Adresse benötigt, genügt --manualhost www.host.de (ohne --san).
Die Domino HTTP-Task muss während des Aufrufs laufen, sonst kann Let's Enrypt die interne Prüfung nicht vornehmen!
Anschließend befinden sich die erstellten Zertifikate in "C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org". Dieser Pfad kann bei Bedarf über einen weiteren Parameter geändert werden. Die benötigten Zertifikatsdateien dann nach "F:\Cert" kopieren (oder wohin auch immer).
COPY "C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\*.pem" "F:\Cert" /Y /V
2. Erstellen einer gemeinsamen Zertifikatsdatei:
TYPE "F:\Cert\host.de-key.pem" "F:\Cert\host.de-crt.pem" "F:\Cert\letsencryptauthorityx3.pem" "F:\Cert\isrgrootx1.pem" >
"F:\Cert\combined.txt"
3a. Prüfung der Zertifikate (optional)
Dieser Schritt ist nur im Vordergrund sinnvoll und kann im Batch-Betrieb ignoriert werden.
kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" verify "F:\Cert\combined.txt"
3b. Import Zertifikate in Domino-Keyring:
kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" import all -k "F:\Domino\Data\keyfile.kyr" -i "F:\Cert\combined.txt"
3c. Import Cross-Root in Domino-Keyring:
kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" import certs -k "F:\Domino\Data\keyfile.kyr"
-i "F:\Cert\lets-encrypt-x3-cross-signed.pem"
4. Domino HTTP-Task neu starten
Wenn der Domino-Server im Rahmen von regelmäßigen Wartungsarbeiten sowieso neu gestartet wird, braucht nichts weiter gemacht zu werden. Nach dem Neustart ist das Zertifikat aktiv. Alternativ kann die HTTP-Task natürlich auch gezielt gestartet werden um die aktualisierte Keyring-Datei zu lesen.