Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: Bruce Willis am 30.06.20 - 11:47:24

Titel: SSL Zertifikat erneuern
Beitrag von: Bruce Willis am 30.06.20 - 11:47:24

Hallo,

auf einem Notes Server haben wir ein SSL Zertifikat MyName-2018.kyr für die Adresse MyName.de, das in ein paar Tagen abläuft.

Letzte Woche hat unser Einkauf dieses Zertifikat bei COMODO selbst verlängert, ohne welche Dateien von Notes Admins anzufordern bzw. zu bekommen.
Die Verlängerung ist als folgende 4 Dateien gekommen:

01.01.2004  01:00             1.517 AAACertificateServices.crt
25.06.2020  00:00             2.776 MyName.crt
02.11.2018  01:00             2.175 SectigoRSAOrganizationValidationSecureServerCA.crt
12.03.2019  01:00             1.968 USERTrustRSAAAACA.crt

Wie genau kann man jetzt das Zertifikat auf dem Server verlängern?
Kennt man eine gute Anleitung dafür?

Gruß
Leo

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Bruce Willis am 30.06.20 - 20:13:09

Wenn es jemanden interessiert, so kann das Zertifikat nicht verlängert werden.

Titel: Re: SSL Zertifikat erneuern
Beitrag von: eknori am 30.06.20 - 21:33:56

Du musst doch nur das neue cert in die .kyr Datei importieren.
Google mal nach kyrtool

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Bruce Willis am 30.06.20 - 21:58:06

Es geht nicht ohne server.key. Leider.

Titel: Re: SSL Zertifikat erneuern
Beitrag von: eknori am 01.07.20 - 05:13:59

Gut, muss ich jetzt nicht verstehen ( zu wenig Informationen )
Nimm https://www.midpoints.de/de-solutions-LE4D Funktioniert bestens, und spart eine Menge Geld.

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Tode am 01.07.20 - 08:11:40

ALSO: Um ein Zertifikat anzufragen braucht man einen Request, einen sogenannten CSR. Diesen sendet man an die ausstellende Stelle.
Der CSR wird von einem Private Key erzeugt.

Während Du das kyr- file erzeugt hast, hast Du auch einen Private key erzeugt (den man mittels kyrtool auch extrahieren könnte, braucht man aber nicht).
WENN Dein Einkauf den selben CSR vom letzten Mal benutzt hat, dann hast Du überhaupt kein Problem: Du importierst einfach die neue Zertifikatskette über

kyrtool.exe =D:\HCL\Notes\notes.ini import certs -k D:\ZZZZZ.kyr -i ZZZZZ.txt

WENN die sich selbst einen CSR gerechnet haben ODER einen CSR von jemand anderem verwendet haben, dann brauchst Du unweigerlich den zu dem CSR gehörigen Schlüssel.
Gibt es diesen Schlüssel nicht: Pech gehabt... Dann müsst ihr das Zertifikat neu beantragen, oder aber Du verwendest -wie Ulrich schreibt- LE4D: Ist kostenlos, sicher, und Du musst Dich -einmal eingerichtet- NIE MEHR um Zertifikatsverlängerung kümmern (so lange Letsencrypt gültige Zertifikate ausstellt).

Titel: Re: SSL Zertifikat erneuern
Beitrag von: netzgoetter am 01.07.20 - 13:56:24

Man kann bei einigen offiziellen Zertifizierungsstellen / Zertifikatsanbietern als Beispiel PSW bei einer Verlängerung auch den "alten" initialen CSR verwenden.
Dann ist es immer noch der alte vorhandene private Key und es muß lediglich der signierte CSR in die KYR Datei neu importiert werden.

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Tode am 01.07.20 - 14:55:21

Vollkommen korrekt, das meinte ich mit meiner Aussage "WENN Dein Einkauf den selben CSR vom letzten Mal benutzt hat...".

Aber danke, dass Du darauf nochmal explizit hingewiesen hast. Eurer LE4D ist aber trotzdem definitiv die bessere Wahl.

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Bruce Willis am 02.07.20 - 11:51:57

Zitat von: eknori am 01.07.20 - 05:13:59

Gut, muss ich jetzt nicht verstehen ( zu wenig Informationen )
Nimm https://www.midpoints.de/de-solutions-LE4D Funktioniert bestens, und spart eine Menge Geld.

Vielen Dank für den Vorschlag!

Zur Erklärung:
Der Einkauf hatte bloß deren übliche "Verlängerung" bestellt, was bei unseren anderen Systemen (außer Notes) auch OK ist. Der Verkäufer hat für die neuen Zertifikate unseren alten CSR verwendet. Aber die alte server.key Datei haben wir nicht mehr. Wir haben jetzt den neuen CSR gemacht und die neuen Zertifikate ersetzen lassen.

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Tode am 02.07.20 - 12:00:00

Aber Du BRAUCHST doch die server.key gar nicht... Der Key ist doch in der kyr- Datei mit drin...

Einfach mit dem von mir geposteten Befehl das Zertifikat ins kyr- file importieren und gut ist...

Und wenn Du unbedingt den "import all" Befehl nutzen willst, dann machst Du vorher ein

kyrtool.exe =D:\HCL\Notes\notes.ini show keys -k ZZZZZ.kyr

Dann kopierst Du Dir den angezeigten Private key da raus und fügst ihn in Deine Text- Datei ein in der Reihenfolge

kopierter key
Myname.cert
OU- Cert
OU- Cert
Root- Cert

Das sieht dann so aus:

Code

-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAvJGvF
...
Zaom3x6SbbooKHPGHTuhe
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
MIIGgDCCBWigAwIBAgITe
...
KZoWGm53rw3MI/d57cXl
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIF8jCCBNqgAwIBA
...
vbsv9cGkTExgc=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIF8jCCBNqgAwIBA
...
vbsv9cGkTExgc=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDgz
...
pwoEHQwxopC1
-----END CERTIFICATE-----

Ob Du alles richtig zusammenkopiert hast, kannst Du ja mit dem Befehl

kyrtool.exe =D:\HCL\Notes\notes.ini verify ZZZZZ.txt

prüfen.

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Bruce Willis am 02.07.20 - 12:00:25

Zitat von: Tode am 01.07.20 - 08:11:40

ALSO: Um ein Zertifikat anzufragen ...
WENN Dein Einkauf ...
WENN die sich selbst ...
LE4D: Ist kostenlos, sicher, und ...

Vielen Dank für Deine detaillierten Erklärungen!

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Bruce Willis am 02.07.20 - 12:05:48

Zitat von: Tode am 02.07.20 - 12:00:00

Aber Du BRAUCHST doch die server.key gar nicht... Der Key ist doch in der kyr- Datei mit drin...

Einfach mit dem von mir geposteten Befehl das Zertifikat ins kyr- file importieren und gut ist...

ECHT???

Müsste ich also nur etwa so auf dem alten keyring.kyr ausführen?
kyrtool import certs -i c:\Temp\SSL\MyName.crt -k c:\Temp\SSL\keyring.kyr

Aber dann, hat mir HCL Support nur Mist erzählt, dass man die server.key in unserem Fall unbedingt braucht???

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Tode am 02.07.20 - 12:06:47

Frag doch nicht den Support, sondern jemanden, der sich wirklich auskennt... ;)

Die haben vermutlich NICHT angenommen, dass der Einkauf den selben CSR wiederverwendet hat (was bedeutet, dass Du den key hast, wenn auch nicht als dedizierte Datei)...
Wenn die Reihenfolge in der Datei stimmt, dann funktioniert Dein Befehl.
Die Reihenfolge kannst Du mit dem Befehl in FETT unten checken

Für Hilfe kannst Du auch kyrtool selbst fragen:

Zitat

'import all' will import an RSA keypair and the server's certificate chain into the
    keyring file. The input file must contain a '-----BEGIN RSA PRIVATE KEY-----' and
    at least one '-----BEGIN CERTIFICATE-----' PEM blob.
    This operation combines the functionality of 'import keys' and 'import certs'
    without the need to correctly specify a distinguished name.
    The 'kyrtool verify file.pem' command can be used to check the file before importing.

'import roots' will import one or more certificates into the keyring file as trusted roots.
    The input file must contain one or more '-----BEGIN CERTIFICATE-----' PEM blobs.

'import keys' will import an RSA keypair into the keyring file, but requires
    the distinguished name from the leaf cert (CN=www.example.com) as input.
    The input file must contain a '-----BEGIN RSA PRIVATE KEY-----' PEM blob.
    'kyrtool show keys -i file.pem' can be used to check the file before importing.

'import certs' will import the server's certificate chain into the keyring file.
    The input file must contain one or more '-----BEGIN CERTIFICATE-----' PEM blobs.
    The certificate chain must be ordered with the leaf first and the root last.
    'kyrtool show certs -i file.pem' can be used to check the file before importing.

Titel: Re: SSL Zertifikat erneuern
Beitrag von: eknori am 02.07.20 - 12:17:11

Zitat von: Bruce Willis am 02.07.20 - 12:05:48

Müsste ich also nur etwa so auf dem alten keyring.kyr ausführen?
kyrtool import certs -i c:\Temp\SSL\MyName.crt -k c:\Temp\SSL\keyring.kyr

Nichts anderes hatte ich bereits hier https://atnotes.de/index.php/topic,62854.msg401222.html#msg401222 geschrieben

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Bruce Willis am 02.07.20 - 13:28:52

Zitat von: Tode am 02.07.20 - 12:06:47

Frag doch nicht den Support, sondern ...

Krasssssss!

Nochmals vielen Dank!

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Bruce Willis am 02.07.20 - 13:30:42

Zitat von: eknori am 02.07.20 - 12:17:11

Nichts anderes hatte ich ...

Ja, Danke und Sorry, ich hab leider nicht begriffen.

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Tode am 02.07.20 - 14:37:42

Also nur, um das nochmal klarzustellen:

Die Aussage des Supports, dass es nicht funktioniert, wenn man den Private key nicht hat, ist absolut richtig. Ohne Private Key keine Chance...
Falsch war nur die Tatsache, dass sie einfach davon ausgegangen sind, dass Du den key nicht hast, ohne die Hintergründe zu hinterfragen. Ich bin sicher, dass auch der Support weiss, dass in der kyr- Datei der Private key mit drinsteckt...
Die haben halt nur nicht die richtigen Fragen gestellt...

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Bruce Willis am 02.07.20 - 14:51:33

Zitat von: Tode am 02.07.20 - 14:37:42

Also nur, um das nochmal klarzustellen...

Danke, so ist es scheinbar gelaufen...

Nach Deinem vorherigen Posting habe ich bei HCL die Situation nochmals geschildert und explizit gefragt, warum sie mir so eine coole Lösung nicht vorgeschlagen hatten. Ich bin gespannt... :)

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Bruce Willis am 02.07.20 - 20:15:33

Zitat von: Tode am 02.07.20 - 14:37:42

...
Die haben halt nur nicht die richtigen Fragen gestellt...

Die meinen, ich solle trotzdem ALLE Zertifikate nochmals importieren:

Code

Hello Leo,
Greetings!
Hope you are doing great today.

I checked internally with team, it might work as keyring file already contains the private key imported earlier and we need to import all certificates, not only sitecert.cer.
Kindly import all certificates into the keyring file including intermediate till root certificate and then check.
However, there is no documentation available for such scenario.

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Tode am 03.07.20 - 07:37:34

Das ist doch genau das selbe was ich auch geschrieben habe: Zertifikate zusammenkopieren und importieren.... Man kann nicht mit 100% Sicherheit sagen, dass die Zertifizierungsstelle seit dem letzten Mal nicht die Zwischenzertifizierungsstellen ausgetauscht hat, deshalb importiert man immer die gesamte Zertifikatskette, aber halt ohne Private Key....

Titel: Re: SSL Zertifikat erneuern
Beitrag von: Bruce Willis am 03.07.20 - 13:25:17

Zitat von: Tode am 03.07.20 - 07:37:34

.... Man kann nicht mit 100% Sicherheit sagen, dass die Zertifizierungsstelle seit dem letzten Mal nicht die Zwischenzertifizierungsstellen ausgetauscht hat...

Ah deshalb... Dann alles klar, nochmals Danke!