AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
13.12.17 - 21:44:59
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News:
Schnellsuche:
+  Das Notes Forum
|-+  Best Practices
| |-+  Diskussionen zu Best Practices (Moderatoren: Axel, MartinG, animate, koehlerbv)
| | |-+  Let's Encrypt für Domino unter Windows
« vorheriges nächstes »
Seiten: [1] Nach unten Drucken
Autor Thema: Let's Encrypt für Domino unter Windows  (Gelesen 1741 mal)
Flachmann
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 121



« am: 08.08.17 - 17:07:43 »

Nach langatmigem Lernpfad möchte ich Euch eine Anleitung für Let's Encrypt für Domino unter Windows nicht vorenthalten. Let's Encrypt https://letsencrypt.org/ erstellt kostenlose TLS/SSL-Zertifikate, die auch für Domino nutzbar sind. Einziger Nachteil ist, dass diese Zertifikate nur für drei Monate ausgestellt werden, d.h. es empfiehlt sich alle zwei Monate eine Erneuerung durch zu führen um genügend Zeit zur Implementierung zu haben.

Es sind einige Anleitungen in INet zu finden, aber die, die ich bislang fand, beziehen sich auf Unix-Umgebungen. Vielen Dank an Tode für die Unterstützung beim Domino-Teil.

Wichtige Links:


Interessante, weiterführende Links:


1. Aufruf von letsencrypt-win-simple
letsencrypt-win-simple funktioniert interaktiv, d.h. Programm aufrufen und die abgefragten Informationen eingeben. Das empfiehlt sich definitiv fürs erste Mal!

Für die weitere Verwendung empfiehlt sich im Batch-Betrieb dieser Aufruf:
Code:
letsencrypt.exe --emailaddress email@me.com --san --manualhost host.de,www.host.de --webroot "F:\Domino\Data\domino\html"
    --warmup --plugin Manual --usedefaulttaskuser --accepttos --notaskscheduler --closeonfinish

E·Mail und Host müssen natürlich angepasst werden. Durch --webroot "F:\Domino\Data\domino\html" werden die LetsEnrypt-Prüfdateien direkt im Domino\Data-Verzeichnis erstellt.

Mit --san --manualhost host.de,www.host.de werden Zertifikate für diese beiden Adressen erzeugt. Wenn man nur eine Adresse benötigt, genügt --manualhost www.host.de (ohne --san).

Die Domino HTTP-Task muss während des Aufrufs laufen, sonst kann Let's Enrypt die interne Prüfung nicht vornehmen!

Anschließend befinden sich die erstellten Zertifikate in "C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org". Dieser Pfad kann bei Bedarf über einen weiteren Parameter geändert werden. Die benötigten Zertifikatsdateien dann nach "F:\Cert" kopieren (oder wohin auch immer).

Code:
COPY "C:\Users\Administrator\AppData\Roaming\letsencrypt-win-simple\httpsacme-v01.api.letsencrypt.org\*.pem" "F:\Cert" /Y /V


2. Erstellen einer gemeinsamen Zertifikatsdatei:
Code:
TYPE "F:\Cert\host.de-key.pem" "F:\Cert\host.de-crt.pem" "F:\Cert\letsencryptauthorityx3.pem" "F:\Cert\isrgrootx1.pem" >
    "F:\Cert\combined.txt"


3a. Prüfung der Zertifikate (optional)
Dieser Schritt ist nur im Vordergrund sinnvoll und kann im Batch-Betrieb ignoriert werden.
Code:
kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" verify "F:\Cert\combined.txt"


3b. Import Zertifikate in Domino-Keyring:
Code:
kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" import all -k "F:\Domino\Data\keyfile.kyr" -i "F:\Cert\combined.txt"


3c. Import Cross-Root in Domino-Keyring:
Code:
kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" import certs -k "F:\Domino\Data\keyfile.kyr"
    -i "F:\Cert\lets-encrypt-x3-cross-signed.pem"


4. Domino HTTP-Task neu starten
Wenn der Domino-Server im Rahmen von regelmäßigen Wartungsarbeiten sowieso neu gestartet wird, braucht nichts weiter gemacht zu werden. Nach dem Neustart ist das Zertifikat aktiv. Alternativ kann die HTTP-Task natürlich auch gezielt gestartet werden um die aktualisierte Keyring-Datei zu lesen.
Gespeichert

Gruß,
  __________
  _/_
  /lachmann
Tode
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 5839


Geht nicht, gibt's (fast) nicht... *g*


« Antworten #1 am: 09.08.17 - 12:23:30 »

sehr schön! Ich hätte allerdings für den "komplett- Einsteiger" die Befehle für die Generierung der kyr- Datei auch noch als "einmal"- Schritt mit angegeben, um das zu vervollständigen:

kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" create -k "F:\Domino\Data\keyfile.kyr" -p EinGanzSicheresPasswort
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
Flachmann
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 121



« Antworten #2 am: 09.08.17 - 12:40:44 »

Ja, danke, das fehlte. Die Keyring-Datei muss einmalig erstellt werden.
Gespeichert

Gruß,
  __________
  _/_
  /lachmann
eknori
@Notes Preisträger
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 10813


« Antworten #3 am: 23.08.17 - 17:14:58 »

https://www.eknori.de/2017-08-23/free-midpoints-lets-encrypt-4-domino-le4d/
« Letzte Änderung: 23.08.17 - 21:10:08 von eknori » Gespeichert
ronka
Aktives Mitglied
***
Offline Offline

Beiträge: 113


Was macht der hier denn, muß der überall sein ?


WWW
« Antworten #4 am: 23.08.17 - 19:45:44 »

Ich bekomme einen page not found bei den link :-(

weil es nicht 21 sondern 23 ist :-)

https://www.eknori.de/2017-08-23/free-midpoints-lets-encrypt-4-domino-le4d/
Gespeichert
netzgoetter
Frischling
*
Offline Offline

Beiträge: 23


WWW
« Antworten #5 am: 23.08.17 - 21:06:15 »

Rudi, nimm besser meinen Post:

http://www.netzgoetter.net/internet/blogs/netzgoetter.nsf/dx/announcing-lets-encrypt-for-domino-just-do-ssl.htm

Da funktionier auch der Link

duck und weg bevor der eknori mir hierauf antwortet
Gespeichert
eknori
@Notes Preisträger
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 10813


« Antworten #6 am: 23.08.17 - 21:10:57 »

Wo ist da ein Fehler?  Grin
Gespeichert
ronka
Aktives Mitglied
***
Offline Offline

Beiträge: 113


Was macht der hier denn, muß der überall sein ?


WWW
« Antworten #7 am: 23.08.17 - 21:20:43 »

Wo ist da ein Fehler?  Grin

Vom Zaubere(ditiere)r weggemachen  Ahnungslos
Gespeichert
Seiten: [1] Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: