AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
15.11.19 - 23:28:30
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News:
Schnellsuche:
+  Das Notes Forum
|-+  Best Practices
| |-+  Diskussionen zu Best Practices (Moderatoren: Axel, MartinG, animate, koehlerbv)
| | |-+  Let's Encrypt für Domino unter Windows
« vorheriges nächstes »
Seiten: [1] 2 Nach unten Drucken
Autor Thema: Let's Encrypt für Domino unter Windows  (Gelesen 28759 mal)
Flachmann
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 140



« am: 08.08.17 - 17:07:43 »

Nach langatmigem Lernpfad möchte ich Euch eine Anleitung für Let's Encrypt für Domino unter Windows nicht vorenthalten. Let's Encrypt https://letsencrypt.org/ erstellt kostenlose TLS/SSL-Zertifikate, die auch für Domino nutzbar sind. Einziger Nachteil ist, dass diese Zertifikate nur für drei Monate ausgestellt werden, d.h. es empfiehlt sich alle zwei Monate eine Erneuerung durch zu führen um genügend Zeit zur Implementierung zu haben.

Es sind einige Anleitungen in INet zu finden, aber die, die ich bislang fand, beziehen sich auf Unix-Umgebungen. Vielen Dank an Tode für die Unterstützung beim Domino-Teil.

Wichtige Links:


Interessante, weiterführende Links:


1. Aufruf von letsencrypt-win-simple
letsencrypt-win-simple funktioniert interaktiv, d.h. Programm aufrufen und die abgefragten Informationen eingeben. Das empfiehlt sich definitiv fürs erste Mal!

Für die weitere Verwendung empfiehlt sich im Batch-Betrieb dieser Aufruf:
Code:
letsencrypt.exe --emailaddress email@me.com --san --manualhost host.de,www.host.de --webroot "F:\Domino\Data\domino\html"
    --warmup --plugin Manual --usedefaulttaskuser --accepttos --notaskscheduler --closeonfinish

E·Mail und Host müssen natürlich angepasst werden. Durch --webroot "F:\Domino\Data\domino\html" werden die LetsEnrypt-Prüfdateien direkt im Domino\Data-Verzeichnis erstellt.

Mit --san --manualhost host.de,www.host.de werden Zertifikate für diese beiden Adressen erzeugt. Wenn man nur eine Adresse benötigt, genügt --manualhost www.host.de (ohne --san).

Die Domino HTTP-Task muss während des Aufrufs laufen, sonst kann Let's Enrypt die interne Prüfung nicht vornehmen!

Anschließend befinden sich die erstellten Zertifikate in "C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org". Dieser Pfad kann bei Bedarf über einen weiteren Parameter geändert werden. Die benötigten Zertifikatsdateien dann nach "F:\Cert" kopieren (oder wohin auch immer).

Code:
COPY "C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\*.pem" "F:\Cert" /Y /V


2. Erstellen einer gemeinsamen Zertifikatsdatei:
Code:
TYPE "F:\Cert\host.de-key.pem" "F:\Cert\host.de-crt.pem" "F:\Cert\letsencryptauthorityx3.pem" "F:\Cert\isrgrootx1.pem" >
    "F:\Cert\combined.txt"


3a. Prüfung der Zertifikate (optional)
Dieser Schritt ist nur im Vordergrund sinnvoll und kann im Batch-Betrieb ignoriert werden.
Code:
kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" verify "F:\Cert\combined.txt"


3b. Import Zertifikate in Domino-Keyring:
Code:
kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" import all -k "F:\Domino\Data\keyfile.kyr" -i "F:\Cert\combined.txt"


3c. Import Cross-Root in Domino-Keyring:
Code:
kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" import certs -k "F:\Domino\Data\keyfile.kyr"
    -i "F:\Cert\lets-encrypt-x3-cross-signed.pem"


4. Domino HTTP-Task neu starten
Wenn der Domino-Server im Rahmen von regelmäßigen Wartungsarbeiten sowieso neu gestartet wird, braucht nichts weiter gemacht zu werden. Nach dem Neustart ist das Zertifikat aktiv. Alternativ kann die HTTP-Task natürlich auch gezielt gestartet werden um die aktualisierte Keyring-Datei zu lesen.
Gespeichert

Gruß,
  __________
  _/_
  /lachmann
Tode
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6276


Geht nicht, gibt's (fast) nicht... *g*


« Antworten #1 am: 09.08.17 - 12:23:30 »

sehr schön! Ich hätte allerdings für den "komplett- Einsteiger" die Befehle für die Generierung der kyr- Datei auch noch als "einmal"- Schritt mit angegeben, um das zu vervollständigen:

kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" create -k "F:\Domino\Data\keyfile.kyr" -p EinGanzSicheresPasswort
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
Flachmann
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 140



« Antworten #2 am: 09.08.17 - 12:40:44 »

Ja, danke, das fehlte. Die Keyring-Datei muss einmalig erstellt werden.
Gespeichert

Gruß,
  __________
  _/_
  /lachmann
eknori
@Notes Preisträger
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11294


« Antworten #3 am: 23.08.17 - 17:14:58 »

https://www.eknori.de/2017-08-23/free-midpoints-lets-encrypt-4-domino-le4d/
« Letzte Änderung: 23.08.17 - 21:10:08 von eknori » Gespeichert
ronka
Aktives Mitglied
***
Offline Offline

Beiträge: 241


Was macht der hier denn, muß der überall sein ?


WWW
« Antworten #4 am: 23.08.17 - 19:45:44 »

Ich bekomme einen page not found bei den link :-(

weil es nicht 21 sondern 23 ist :-)

https://www.eknori.de/2017-08-23/free-midpoints-lets-encrypt-4-domino-le4d/
Gespeichert

das neueste von Domino 10 auf den AdminCamp in September -> www.AdminCamp.de
netzgoetter
Frischling
*
Offline Offline

Beiträge: 38


WWW
« Antworten #5 am: 23.08.17 - 21:06:15 »

Rudi, nimm besser meinen Post:

http://www.netzgoetter.net/internet/blogs/netzgoetter.nsf/dx/announcing-lets-encrypt-for-domino-just-do-ssl.htm

Da funktionier auch der Link

duck und weg bevor der eknori mir hierauf antwortet
Gespeichert
eknori
@Notes Preisträger
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11294


« Antworten #6 am: 23.08.17 - 21:10:57 »

Wo ist da ein Fehler?  Grin
Gespeichert
ronka
Aktives Mitglied
***
Offline Offline

Beiträge: 241


Was macht der hier denn, muß der überall sein ?


WWW
« Antworten #7 am: 23.08.17 - 21:20:43 »

Wo ist da ein Fehler?  Grin

Vom Zaubere(ditiere)r weggemachen  Ahnungslos
Gespeichert

das neueste von Domino 10 auf den AdminCamp in September -> www.AdminCamp.de
Cookie
Junior Mitglied
**
Offline Offline

Geschlecht: Männlich
Beiträge: 83


Ja


« Antworten #8 am: 26.10.18 - 14:56:08 »

(...)

und bei partitionierten Servern bitte darauf achten, dass im Programmverzeichnis auch eine notes.ini liegt.  Cool
Gespeichert
Ottmar
Junior Mitglied
**
Offline Offline

Geschlecht: Männlich
Beiträge: 93



« Antworten #9 am: 14.02.19 - 17:56:27 »

Hallo Liebes Forum,

ich habe mir gestern "letsEncrypt-win-simple" frisch von letsencrypt.org gedaownloaded und wollte alles so wie unten beschrieben nachstellen.

Meine Version von letsencrypt.exe kennt aber die Parameter
--notaskscheduler --closeonfinish
nicht. Ich habe andere Versionen gesucht, bislang ohne Erfolg.

Weiter werden beim Aufruf des Programms (ohne die beiden Parameter) zwar Dateien "Registration" und "Signer" im Benutzerprofil des Admin gespeichert, Zertifikatsdateien ("*,pem") der Ähnliches fiinde ich dort aber nicht.

Was mache ich falsch? Hat vielleicht jemand eine Link zu einem Letsencrypt-Programm, dass die Parameter --notaskscheduler und --closeonfinish kennt? Kann mir einer auf die Sprünge helfen?

Gespeichert
Tode
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6276


Geht nicht, gibt's (fast) nicht... *g*


« Antworten #10 am: 15.02.19 - 08:33:37 »

Nimm letsencrypt4domino von midpoints. Das ist wesentlich einfacher zu implementieren.
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
Ottmar
Junior Mitglied
**
Offline Offline

Geschlecht: Männlich
Beiträge: 93



« Antworten #11 am: 15.02.19 - 11:53:06 »

Ich danke für den Tipp. Die Datenbank vereinfacht die Konfiguration tatsächlich erheblich, die Anleitung dazu ist sehr gut und ausführlich.

Leider hilft mir das aber nichts. der darin vorhandene Agent für die Umsetzung liefert eine Fehlermeldung:

Agent Manager: Agent  error: org.shredzone.acme4j.exception.AcmeServerException: Order's status ("invalid") is not acceptable for finalization

Da ich den Code nicht debuggen kann - der Code ist verständlicherweise verborgen - habe ich keine Idee, welcher Order-Status warum invalid ist wie ich auf diesen Weg weiterkomme.


Gespeichert
eknori
@Notes Preisträger
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11294


« Antworten #12 am: 15.02.19 - 13:02:09 »

Die Fehlermeldung kommt üblicherweise, wenn dein Domino Server auf der externen Adresse nicht auf Port 80 erreichbar ist.

Ich gehe mal davon aus, daß du lediglich port 443 aktiv hast. Die Lets Encrypt CA möchte aber bei der ersten Anforderung eines zertifikat unbedingt auf port 80 die Challenge holen.

Bei einer Verlängerung eines bestehenden Zertifikats braucht es port 80 nicht mehr.

Daher gibt es nur den Workaround, einmalig port 80 über die externe Adresse erreichbar zu machen, das Zertifikat zu holen, und dann wieder dicht zu machen.

Ist auch bei allen anderen Tools so ( certbot etc )

 
Gespeichert
Ottmar
Junior Mitglied
**
Offline Offline

Geschlecht: Männlich
Beiträge: 93



« Antworten #13 am: 15.02.19 - 13:55:54 »

Der HTTP-Task meldet aber, dass er auf Port 80 hört.
Rufe ich allerdings von Extern die Webadresse des Dominoservers auf, kommt ein Fehler "504 * Anfrage von Server hat zu lange gedauert".

Ich stehe gerade auf dem Schlauch. Im Notes sieht alles ok aus, wird wohl an Windows liegen ?! (Ich fürchte gerade, ich wandere gerade weit weg von Notes... muss mir mal ein Windows Forum suchen.)
Gespeichert
eknori
@Notes Preisträger
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11294


« Antworten #14 am: 15.02.19 - 13:58:28 »

Windows firewall blockt port 80?
Wie ist denn der Weg extern nach intern ? Fritz.box? ist dann da auch ein portmapping eingetragen?
Gespeichert
Ottmar
Junior Mitglied
**
Offline Offline

Geschlecht: Männlich
Beiträge: 93



« Antworten #15 am: 15.02.19 - 14:51:07 »

Hmmm,

Port 80 ist frei.
Der Router (Lancom 1631e) leitet Anfragen an Port 80/443 direkt zu unserem virtuellen Dominoserver weiter.

Den Traveler-Task habe ich gerade mal deaktiviert, den HTTP Task neu gestartet.
Der liefert jetzt beim Hochfahren mehrseitige Fehlermeldungen

[0494:000B-1E9C] 15.02.2019 14:42:12   HTTP JVM: java.lang.NoClassDefFoundError: org.eclipse.osgi.framework.internal.core.BundleURLConnection
[0494:000B-1E9C] 15.02.2019 14:42:12   HTTP JVM:  at com.lotus.sync.util.Version.<clinit>(Version.java:139)
[0494:000B-1E9C] 15.02.2019 14:42:12   HTTP JVM:  at com.lotus.sync.servlet.TravelerServlet.init(TravelerServlet.java:607)
[0494:000B-1E9C] 15.02.2019 14:42:12   HTTP JVM:  at org.eclipse.equinox.http.registry.internal.ServletManager$ServletWrapper.initializeDelegate(ServletManager.java:195)
[0494:000B-1E9C] 15.02.2019 14:42:12   HTTP JVM:  at org.eclipse.equinox.http.registry.internal.ServletManager$ServletWrapper.init(ServletManager.java:171)

Hmmm, beim letzten Start vor der Agentenausführung hatte er das noch nicht. Da ist wohl kräftig was kaputt gegangen.
Ich werde mich erst einmal um dieses Problem kümmern müssen.
Gespeichert
eknori
@Notes Preisträger
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11294


« Antworten #16 am: 15.02.19 - 14:54:00 »

Das hat aber mit der Ausführung von LE4D nichts zu tun.  LE4D macht keine Änderungen an der Systemkonfiguration im names.nsf oder der notes.ini. Und ich sollte es wissen, ich habe LE4D geschrieben.
« Letzte Änderung: 15.02.19 - 14:55:31 von eknori » Gespeichert
Ottmar
Junior Mitglied
**
Offline Offline

Geschlecht: Männlich
Beiträge: 93



« Antworten #17 am: 15.02.19 - 15:03:11 »

Um Gottes Willen, ich will nichts unterstellen.

Ich habe gestern in Vorbereitung von Fixpack7 auf Fixpack10 upgedatet. Möglicherweise ist da das Problem.
Habe im Moment noch keine Idee, wie ich das repariert kriege. Vermutlich werde ich heute Nacht den Server erst einmal komplett neuaufsetzen müssen.

Sch.....  Huh
Gespeichert
eknori
@Notes Preisträger
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11294


« Antworten #18 am: 15.02.19 - 15:07:16 »

Stop, keinen blinden Aktionismus.

Du hast Traveler deaktiviert. Aus der notes.ini rausgenommen , oder wie?

wenn du willst, dann schicke mir deine notes.ini und in einer leeren Datenbank das Serverdokument, evtl. Konfigurationsdokument und die zum Server gehörenden WebDokumente. Dann schaue ich da mal drüber.

Welche traveler version ist im Einsatz?

an eknori at eknori dot de

Gespeichert
Tode
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6276


Geht nicht, gibt's (fast) nicht... *g*


« Antworten #19 am: 18.02.19 - 08:21:36 »

Der HTTP- Task kommuniziert doch mit dem Traveler... Wenn Du den deaktivierst, dann sind seitenweise Fehlermeldungen normal, weil die geladenen Servlets keine Antwort vom Traveler- Dienst bekommen...

Mit NEU aufsetzen wirst Du vermutlich keinerlei Probleme beheben. Das ist nicht Windows: Der Fehler liegt in 90% der Fälle in der Config, und die ist auch nach dem neu Aufsetzen die gleiche...
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
Seiten: [1] 2 Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: