Autor Thema: Let's Encrypt für Domino unter Windows  (Gelesen 96208 mal)

Offline Flachmann

  • Senior Mitglied
  • ****
  • Beiträge: 254
  • Geschlecht: Männlich
Let's Encrypt für Domino unter Windows
« am: 08.08.17 - 17:07:43 »
Nach langatmigem Lernpfad möchte ich Euch eine Anleitung für Let's Encrypt für Domino unter Windows nicht vorenthalten. Let's Encrypt https://letsencrypt.org/ erstellt kostenlose TLS/SSL-Zertifikate, die auch für Domino nutzbar sind. Einziger Nachteil ist, dass diese Zertifikate nur für drei Monate ausgestellt werden, d.h. es empfiehlt sich alle zwei Monate eine Erneuerung durch zu führen um genügend Zeit zur Implementierung zu haben.

Es sind einige Anleitungen in INet zu finden, aber die, die ich bislang fand, beziehen sich auf Unix-Umgebungen. Vielen Dank an Tode für die Unterstützung beim Domino-Teil.

Wichtige Links:


Interessante, weiterführende Links:


1. Aufruf von letsencrypt-win-simple
letsencrypt-win-simple funktioniert interaktiv, d.h. Programm aufrufen und die abgefragten Informationen eingeben. Das empfiehlt sich definitiv fürs erste Mal!

Für die weitere Verwendung empfiehlt sich im Batch-Betrieb dieser Aufruf:
Code
letsencrypt.exe --emailaddress email@me.com --san --manualhost host.de,www.host.de --webroot "F:\Domino\Data\domino\html" 
    --warmup --plugin Manual --usedefaulttaskuser --accepttos --notaskscheduler --closeonfinish

E·Mail und Host müssen natürlich angepasst werden. Durch --webroot "F:\Domino\Data\domino\html" werden die LetsEnrypt-Prüfdateien direkt im Domino\Data-Verzeichnis erstellt.

Mit --san --manualhost host.de,www.host.de werden Zertifikate für diese beiden Adressen erzeugt. Wenn man nur eine Adresse benötigt, genügt --manualhost www.host.de (ohne --san).

Die Domino HTTP-Task muss während des Aufrufs laufen, sonst kann Let's Enrypt die interne Prüfung nicht vornehmen!

Anschließend befinden sich die erstellten Zertifikate in "C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org". Dieser Pfad kann bei Bedarf über einen weiteren Parameter geändert werden. Die benötigten Zertifikatsdateien dann nach "F:\Cert" kopieren (oder wohin auch immer).

Code
COPY "C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\*.pem" "F:\Cert" /Y /V


2. Erstellen einer gemeinsamen Zertifikatsdatei:
Code
TYPE "F:\Cert\host.de-key.pem" "F:\Cert\host.de-crt.pem" "F:\Cert\letsencryptauthorityx3.pem" "F:\Cert\isrgrootx1.pem" > 
    "F:\Cert\combined.txt"


3a. Prüfung der Zertifikate (optional)
Dieser Schritt ist nur im Vordergrund sinnvoll und kann im Batch-Betrieb ignoriert werden.
Code
kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" verify "F:\Cert\combined.txt"


3b. Import Zertifikate in Domino-Keyring:
Code
kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" import all -k "F:\Domino\Data\keyfile.kyr" -i "F:\Cert\combined.txt"


3c. Import Cross-Root in Domino-Keyring:
Code
kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" import certs -k "F:\Domino\Data\keyfile.kyr" 
    -i "F:\Cert\lets-encrypt-x3-cross-signed.pem"


4. Domino HTTP-Task neu starten
Wenn der Domino-Server im Rahmen von regelmäßigen Wartungsarbeiten sowieso neu gestartet wird, braucht nichts weiter gemacht zu werden. Nach dem Neustart ist das Zertifikat aktiv. Alternativ kann die HTTP-Task natürlich auch gezielt gestartet werden um die aktualisierte Keyring-Datei zu lesen.
Gruß,
  __________
  _/_
  /lachmann

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.870
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Let's Encrypt für Domino unter Windows
« Antwort #1 am: 09.08.17 - 12:23:30 »
sehr schön! Ich hätte allerdings für den "komplett- Einsteiger" die Befehle für die Generierung der kyr- Datei auch noch als "einmal"- Schritt mit angegeben, um das zu vervollständigen:

kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" create -k "F:\Domino\Data\keyfile.kyr" -p EinGanzSicheresPasswort
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Flachmann

  • Senior Mitglied
  • ****
  • Beiträge: 254
  • Geschlecht: Männlich
Re: Let's Encrypt für Domino unter Windows
« Antwort #2 am: 09.08.17 - 12:40:44 »
Ja, danke, das fehlte. Die Keyring-Datei muss einmalig erstellt werden.
Gruß,
  __________
  _/_
  /lachmann

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
« Letzte Änderung: 23.08.17 - 21:10:08 von eknori »
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline ronka

  • Senior Mitglied
  • ****
  • Beiträge: 377
  • Was macht der hier denn, muß der überall sein ?
    • das nächste DominoCamp kommt in Juni 2023
Re: Let's Encrypt für Domino unter Windows
« Antwort #4 am: 23.08.17 - 19:45:44 »
Ich bekomme einen page not found bei den link :-(

weil es nicht 21 sondern 23 ist :-)

https://www.eknori.de/2017-08-23/free-midpoints-lets-encrypt-4-domino-le4d/
das neueste von Notes und Domino auf den DominoCamp vom 19 bis 21 Juni 2023 auf www.DominoCamp.de

Offline netzgoetter

  • Frischling
  • *
  • Beiträge: 44
    • Netzgoetter.Net Blog
Re: Let's Encrypt für Domino unter Windows
« Antwort #5 am: 23.08.17 - 21:06:15 »
Rudi, nimm besser meinen Post:

http://www.netzgoetter.net/internet/blogs/netzgoetter.nsf/dx/announcing-lets-encrypt-for-domino-just-do-ssl.htm

Da funktionier auch der Link

duck und weg bevor der eknori mir hierauf antwortet

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
Re: Let's Encrypt für Domino unter Windows
« Antwort #6 am: 23.08.17 - 21:10:57 »
Wo ist da ein Fehler?  ;D
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline ronka

  • Senior Mitglied
  • ****
  • Beiträge: 377
  • Was macht der hier denn, muß der überall sein ?
    • das nächste DominoCamp kommt in Juni 2023
Re: Let's Encrypt für Domino unter Windows
« Antwort #7 am: 23.08.17 - 21:20:43 »
Wo ist da ein Fehler?  ;D

Vom Zaubere(ditiere)r weggemachen  :-:
das neueste von Notes und Domino auf den DominoCamp vom 19 bis 21 Juni 2023 auf www.DominoCamp.de

Offline Cookie

  • Junior Mitglied
  • **
  • Beiträge: 85
  • Geschlecht: Männlich
  • Ja
Re: Let's Encrypt für Domino unter Windows
« Antwort #8 am: 26.10.18 - 14:56:08 »
(...)

und bei partitionierten Servern bitte darauf achten, dass im Programmverzeichnis auch eine notes.ini liegt.  8)

Offline Ottmar

  • Aktives Mitglied
  • ***
  • Beiträge: 105
  • Geschlecht: Männlich
Re: Let's Encrypt für Domino unter Windows
« Antwort #9 am: 14.02.19 - 17:56:27 »
Hallo Liebes Forum,

ich habe mir gestern "letsEncrypt-win-simple" frisch von letsencrypt.org gedaownloaded und wollte alles so wie unten beschrieben nachstellen.

Meine Version von letsencrypt.exe kennt aber die Parameter
--notaskscheduler --closeonfinish
nicht. Ich habe andere Versionen gesucht, bislang ohne Erfolg.

Weiter werden beim Aufruf des Programms (ohne die beiden Parameter) zwar Dateien "Registration" und "Signer" im Benutzerprofil des Admin gespeichert, Zertifikatsdateien ("*,pem") der Ähnliches fiinde ich dort aber nicht.

Was mache ich falsch? Hat vielleicht jemand eine Link zu einem Letsencrypt-Programm, dass die Parameter --notaskscheduler und --closeonfinish kennt? Kann mir einer auf die Sprünge helfen?


Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.870
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Let's Encrypt für Domino unter Windows
« Antwort #10 am: 15.02.19 - 08:33:37 »
Nimm letsencrypt4domino von midpoints. Das ist wesentlich einfacher zu implementieren.
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Ottmar

  • Aktives Mitglied
  • ***
  • Beiträge: 105
  • Geschlecht: Männlich
Re: Let's Encrypt für Domino unter Windows
« Antwort #11 am: 15.02.19 - 11:53:06 »
Ich danke für den Tipp. Die Datenbank vereinfacht die Konfiguration tatsächlich erheblich, die Anleitung dazu ist sehr gut und ausführlich.

Leider hilft mir das aber nichts. der darin vorhandene Agent für die Umsetzung liefert eine Fehlermeldung:

Agent Manager: Agent  error: org.shredzone.acme4j.exception.AcmeServerException: Order's status ("invalid") is not acceptable for finalization

Da ich den Code nicht debuggen kann - der Code ist verständlicherweise verborgen - habe ich keine Idee, welcher Order-Status warum invalid ist wie ich auf diesen Weg weiterkomme.



Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
Re: Let's Encrypt für Domino unter Windows
« Antwort #12 am: 15.02.19 - 13:02:09 »
Die Fehlermeldung kommt üblicherweise, wenn dein Domino Server auf der externen Adresse nicht auf Port 80 erreichbar ist.

Ich gehe mal davon aus, daß du lediglich port 443 aktiv hast. Die Lets Encrypt CA möchte aber bei der ersten Anforderung eines zertifikat unbedingt auf port 80 die Challenge holen.

Bei einer Verlängerung eines bestehenden Zertifikats braucht es port 80 nicht mehr.

Daher gibt es nur den Workaround, einmalig port 80 über die externe Adresse erreichbar zu machen, das Zertifikat zu holen, und dann wieder dicht zu machen.

Ist auch bei allen anderen Tools so ( certbot etc )

 
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Ottmar

  • Aktives Mitglied
  • ***
  • Beiträge: 105
  • Geschlecht: Männlich
Re: Let's Encrypt für Domino unter Windows
« Antwort #13 am: 15.02.19 - 13:55:54 »
Der HTTP-Task meldet aber, dass er auf Port 80 hört.
Rufe ich allerdings von Extern die Webadresse des Dominoservers auf, kommt ein Fehler "504 * Anfrage von Server hat zu lange gedauert".

Ich stehe gerade auf dem Schlauch. Im Notes sieht alles ok aus, wird wohl an Windows liegen ?! (Ich fürchte gerade, ich wandere gerade weit weg von Notes... muss mir mal ein Windows Forum suchen.)

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
Re: Let's Encrypt für Domino unter Windows
« Antwort #14 am: 15.02.19 - 13:58:28 »
Windows firewall blockt port 80?
Wie ist denn der Weg extern nach intern ? Fritz.box? ist dann da auch ein portmapping eingetragen?
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Ottmar

  • Aktives Mitglied
  • ***
  • Beiträge: 105
  • Geschlecht: Männlich
Re: Let's Encrypt für Domino unter Windows
« Antwort #15 am: 15.02.19 - 14:51:07 »
Hmmm,

Port 80 ist frei.
Der Router (Lancom 1631e) leitet Anfragen an Port 80/443 direkt zu unserem virtuellen Dominoserver weiter.

Den Traveler-Task habe ich gerade mal deaktiviert, den HTTP Task neu gestartet.
Der liefert jetzt beim Hochfahren mehrseitige Fehlermeldungen

[0494:000B-1E9C] 15.02.2019 14:42:12   HTTP JVM: java.lang.NoClassDefFoundError: org.eclipse.osgi.framework.internal.core.BundleURLConnection
[0494:000B-1E9C] 15.02.2019 14:42:12   HTTP JVM:  at com.lotus.sync.util.Version.<clinit>(Version.java:139)
[0494:000B-1E9C] 15.02.2019 14:42:12   HTTP JVM:  at com.lotus.sync.servlet.TravelerServlet.init(TravelerServlet.java:607)
[0494:000B-1E9C] 15.02.2019 14:42:12   HTTP JVM:  at org.eclipse.equinox.http.registry.internal.ServletManager$ServletWrapper.initializeDelegate(ServletManager.java:195)
[0494:000B-1E9C] 15.02.2019 14:42:12   HTTP JVM:  at org.eclipse.equinox.http.registry.internal.ServletManager$ServletWrapper.init(ServletManager.java:171)

Hmmm, beim letzten Start vor der Agentenausführung hatte er das noch nicht. Da ist wohl kräftig was kaputt gegangen.
Ich werde mich erst einmal um dieses Problem kümmern müssen.

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
Re: Let's Encrypt für Domino unter Windows
« Antwort #16 am: 15.02.19 - 14:54:00 »
Das hat aber mit der Ausführung von LE4D nichts zu tun.  LE4D macht keine Änderungen an der Systemkonfiguration im names.nsf oder der notes.ini. Und ich sollte es wissen, ich habe LE4D geschrieben.
« Letzte Änderung: 15.02.19 - 14:55:31 von eknori »
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Ottmar

  • Aktives Mitglied
  • ***
  • Beiträge: 105
  • Geschlecht: Männlich
Re: Let's Encrypt für Domino unter Windows
« Antwort #17 am: 15.02.19 - 15:03:11 »
Um Gottes Willen, ich will nichts unterstellen.

Ich habe gestern in Vorbereitung von Fixpack7 auf Fixpack10 upgedatet. Möglicherweise ist da das Problem.
Habe im Moment noch keine Idee, wie ich das repariert kriege. Vermutlich werde ich heute Nacht den Server erst einmal komplett neuaufsetzen müssen.

Sch.....  ???

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
Re: Let's Encrypt für Domino unter Windows
« Antwort #18 am: 15.02.19 - 15:07:16 »
Stop, keinen blinden Aktionismus.

Du hast Traveler deaktiviert. Aus der notes.ini rausgenommen , oder wie?

wenn du willst, dann schicke mir deine notes.ini und in einer leeren Datenbank das Serverdokument, evtl. Konfigurationsdokument und die zum Server gehörenden WebDokumente. Dann schaue ich da mal drüber.

Welche traveler version ist im Einsatz?

an eknori at eknori dot de

Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.870
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Let's Encrypt für Domino unter Windows
« Antwort #19 am: 18.02.19 - 08:21:36 »
Der HTTP- Task kommuniziert doch mit dem Traveler... Wenn Du den deaktivierst, dann sind seitenweise Fehlermeldungen normal, weil die geladenen Servlets keine Antwort vom Traveler- Dienst bekommen...

Mit NEU aufsetzen wirst Du vermutlich keinerlei Probleme beheben. Das ist nicht Windows: Der Fehler liegt in 90% der Fälle in der Config, und die ist auch nach dem neu Aufsetzen die gleiche...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz