Autor Thema: SSL Zertifikat erneuern  (Gelesen 5669 mal)

Offline Bruce Willis

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.002
  • Geschlecht: Männlich
  • Wer nicht wagt...
SSL Zertifikat erneuern
« am: 30.06.20 - 11:47:24 »
Hallo,

auf einem Notes Server haben wir ein SSL Zertifikat MyName-2018.kyr für die Adresse MyName.de, das in ein paar Tagen abläuft.

Letzte Woche hat unser Einkauf dieses Zertifikat bei COMODO selbst verlängert, ohne welche Dateien von Notes Admins anzufordern bzw. zu bekommen.
Die Verlängerung ist als folgende 4 Dateien gekommen:

01.01.2004  01:00             1.517 AAACertificateServices.crt
25.06.2020  00:00             2.776 MyName.crt
02.11.2018  01:00             2.175 SectigoRSAOrganizationValidationSecureServerCA.crt
12.03.2019  01:00             1.968 USERTrustRSAAAACA.crt

Wie genau kann man jetzt das Zertifikat auf dem Server verlängern?
Kennt man eine gute Anleitung dafür?

Gruß
Leo
nobody is perfect but i'm pretty close 

Offline Bruce Willis

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.002
  • Geschlecht: Männlich
  • Wer nicht wagt...
Re: SSL Zertifikat erneuern
« Antwort #1 am: 30.06.20 - 20:13:09 »
Wenn es jemanden interessiert, so kann das Zertifikat nicht verlängert werden.
nobody is perfect but i'm pretty close 

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
Re: SSL Zertifikat erneuern
« Antwort #2 am: 30.06.20 - 21:33:56 »
Du musst doch nur das neue cert in die .kyr Datei importieren.
Google mal nach kyrtool
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Bruce Willis

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.002
  • Geschlecht: Männlich
  • Wer nicht wagt...
Re: SSL Zertifikat erneuern
« Antwort #3 am: 30.06.20 - 21:58:06 »
Es geht nicht ohne server.key. Leider.
nobody is perfect but i'm pretty close 

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
Re: SSL Zertifikat erneuern
« Antwort #4 am: 01.07.20 - 05:13:59 »
Gut, muss ich jetzt nicht verstehen ( zu wenig Informationen )
Nimm https://www.midpoints.de/de-solutions-LE4D Funktioniert bestens, und spart eine Menge Geld.
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.870
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: SSL Zertifikat erneuern
« Antwort #5 am: 01.07.20 - 08:11:40 »
ALSO: Um ein Zertifikat anzufragen braucht man einen Request, einen sogenannten CSR. Diesen sendet man an die ausstellende Stelle.
Der CSR wird von einem Private Key erzeugt.

Während Du das kyr- file erzeugt hast, hast Du auch einen Private key erzeugt (den man mittels kyrtool auch extrahieren könnte, braucht man aber nicht).
WENN Dein Einkauf den selben CSR vom letzten Mal benutzt hat, dann hast Du überhaupt kein Problem: Du importierst einfach die neue Zertifikatskette über

kyrtool.exe =D:\HCL\Notes\notes.ini import certs -k D:\ZZZZZ.kyr -i ZZZZZ.txt

WENN die sich selbst einen CSR gerechnet haben ODER einen CSR von jemand anderem verwendet haben, dann brauchst Du unweigerlich den zu dem CSR gehörigen Schlüssel.
Gibt es diesen Schlüssel nicht: Pech gehabt... Dann müsst ihr das Zertifikat neu beantragen, oder aber Du verwendest -wie Ulrich schreibt- LE4D: Ist kostenlos, sicher, und Du musst Dich -einmal eingerichtet- NIE MEHR um Zertifikatsverlängerung kümmern (so lange Letsencrypt gültige Zertifikate ausstellt).
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline netzgoetter

  • Frischling
  • *
  • Beiträge: 44
    • Netzgoetter.Net Blog
Re: SSL Zertifikat erneuern
« Antwort #6 am: 01.07.20 - 13:56:24 »
Man kann bei einigen offiziellen Zertifizierungsstellen / Zertifikatsanbietern als Beispiel PSW bei einer Verlängerung auch den "alten" initialen CSR verwenden.
Dann ist es immer noch der alte vorhandene private Key und es muß lediglich der signierte CSR in die KYR Datei neu importiert werden.


Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.870
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: SSL Zertifikat erneuern
« Antwort #7 am: 01.07.20 - 14:55:21 »
Vollkommen korrekt, das meinte ich mit meiner Aussage "WENN Dein Einkauf den selben CSR vom letzten Mal benutzt hat...".

Aber danke, dass Du darauf nochmal explizit hingewiesen hast. Eurer LE4D ist aber trotzdem definitiv die bessere Wahl.
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Bruce Willis

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.002
  • Geschlecht: Männlich
  • Wer nicht wagt...
Re: SSL Zertifikat erneuern
« Antwort #8 am: 02.07.20 - 11:51:57 »
Gut, muss ich jetzt nicht verstehen ( zu wenig Informationen )
Nimm https://www.midpoints.de/de-solutions-LE4D Funktioniert bestens, und spart eine Menge Geld.

Vielen Dank für den Vorschlag!

Zur Erklärung:
Der Einkauf hatte bloß deren übliche "Verlängerung" bestellt, was bei unseren anderen Systemen (außer Notes) auch OK ist. Der Verkäufer hat für die neuen Zertifikate unseren alten CSR verwendet. Aber die alte server.key Datei haben wir nicht mehr. Wir haben jetzt den neuen CSR gemacht und die neuen Zertifikate ersetzen lassen.
« Letzte Änderung: 02.07.20 - 11:55:51 von Bruce Willis »
nobody is perfect but i'm pretty close 

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.870
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: SSL Zertifikat erneuern
« Antwort #9 am: 02.07.20 - 12:00:00 »
Aber Du BRAUCHST doch die server.key gar nicht... Der Key ist doch in der kyr- Datei mit drin...

Einfach mit dem von mir geposteten Befehl das Zertifikat ins kyr- file importieren und gut ist...

Und wenn Du unbedingt den "import all" Befehl nutzen willst, dann machst Du vorher ein

kyrtool.exe =D:\HCL\Notes\notes.ini show keys -k ZZZZZ.kyr

Dann kopierst Du Dir den angezeigten Private key da raus und fügst ihn in Deine Text- Datei ein in der Reihenfolge

kopierter key
Myname.cert
OU- Cert
OU- Cert
Root- Cert

Das sieht dann so aus:
Code
-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAvJGvF
...
Zaom3x6SbbooKHPGHTuhe
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
MIIGgDCCBWigAwIBAgITe
...
KZoWGm53rw3MI/d57cXl
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIF8jCCBNqgAwIBA
...
vbsv9cGkTExgc=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIF8jCCBNqgAwIBA
...
vbsv9cGkTExgc=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDgz
...
pwoEHQwxopC1
-----END CERTIFICATE-----

Ob Du alles richtig zusammenkopiert hast, kannst Du ja mit dem Befehl

kyrtool.exe =D:\HCL\Notes\notes.ini verify ZZZZZ.txt

prüfen.
« Letzte Änderung: 02.07.20 - 12:06:13 von Tode »
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Bruce Willis

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.002
  • Geschlecht: Männlich
  • Wer nicht wagt...
Re: SSL Zertifikat erneuern
« Antwort #10 am: 02.07.20 - 12:00:25 »
ALSO: Um ein Zertifikat anzufragen ...
WENN Dein Einkauf ...
WENN die sich selbst ...
LE4D: Ist kostenlos, sicher, und ...
Vielen Dank für Deine detaillierten Erklärungen!
nobody is perfect but i'm pretty close 

Offline Bruce Willis

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.002
  • Geschlecht: Männlich
  • Wer nicht wagt...
Re: SSL Zertifikat erneuern
« Antwort #11 am: 02.07.20 - 12:05:48 »
Aber Du BRAUCHST doch die server.key gar nicht... Der Key ist doch in der kyr- Datei mit drin...

Einfach mit dem von mir geposteten Befehl das Zertifikat ins kyr- file importieren und gut ist...

ECHT???

Müsste ich also nur etwa so auf dem alten keyring.kyr ausführen?
kyrtool import certs -i c:\Temp\SSL\MyName.crt -k c:\Temp\SSL\keyring.kyr

Aber dann, hat mir HCL Support nur Mist erzählt, dass man die server.key in unserem Fall unbedingt braucht???
nobody is perfect but i'm pretty close 

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.870
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: SSL Zertifikat erneuern
« Antwort #12 am: 02.07.20 - 12:06:47 »
Frag doch nicht den Support, sondern jemanden, der sich wirklich auskennt... ;)

Die haben vermutlich NICHT angenommen, dass der Einkauf den selben CSR wiederverwendet hat (was bedeutet, dass Du den key hast, wenn auch nicht als dedizierte Datei)...
Wenn die Reihenfolge in der Datei stimmt, dann funktioniert Dein Befehl.
Die Reihenfolge kannst Du mit dem Befehl in FETT unten checken

Für Hilfe kannst Du auch kyrtool selbst fragen:

Zitat
'import all' will import an RSA keypair and the server's certificate chain into the
    keyring file. The input file must contain a '-----BEGIN RSA PRIVATE KEY-----' and
    at least one '-----BEGIN CERTIFICATE-----' PEM blob.
    This operation combines the functionality of 'import keys' and 'import certs'
    without the need to correctly specify a distinguished name.
    The 'kyrtool verify file.pem' command can be used to check the file before importing.

'import roots' will import one or more certificates into the keyring file as trusted roots.
    The input file must contain one or more '-----BEGIN CERTIFICATE-----' PEM blobs.

'import keys' will import an RSA keypair into the keyring file, but requires
    the distinguished name from the leaf cert (CN=www.example.com) as input.
    The input file must contain a '-----BEGIN RSA PRIVATE KEY-----' PEM blob.
    'kyrtool show keys -i file.pem' can be used to check the file before importing.

'import certs' will import the server's certificate chain into the keyring file.
    The input file must contain one or more '-----BEGIN CERTIFICATE-----' PEM blobs.
    The certificate chain must be ordered with the leaf first and the root last.
    'kyrtool show certs -i file.pem' can be used to check the file before importing.
« Letzte Änderung: 02.07.20 - 12:12:12 von Tode »
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.710
  • Geschlecht: Männlich
Re: SSL Zertifikat erneuern
« Antwort #13 am: 02.07.20 - 12:17:11 »
Müsste ich also nur etwa so auf dem alten keyring.kyr ausführen?
kyrtool import certs -i c:\Temp\SSL\MyName.crt -k c:\Temp\SSL\keyring.kyr

Nichts anderes hatte ich bereits hier https://atnotes.de/index.php/topic,62854.msg401222.html#msg401222 geschrieben
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline Bruce Willis

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.002
  • Geschlecht: Männlich
  • Wer nicht wagt...
Re: SSL Zertifikat erneuern
« Antwort #14 am: 02.07.20 - 13:28:52 »
Frag doch nicht den Support, sondern ...

Krasssssss!

Nochmals vielen Dank!
nobody is perfect but i'm pretty close 

Offline Bruce Willis

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.002
  • Geschlecht: Männlich
  • Wer nicht wagt...
Re: SSL Zertifikat erneuern
« Antwort #15 am: 02.07.20 - 13:30:42 »
Nichts anderes hatte ich ...
Ja, Danke und Sorry, ich hab leider nicht begriffen.
nobody is perfect but i'm pretty close 

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.870
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: SSL Zertifikat erneuern
« Antwort #16 am: 02.07.20 - 14:37:42 »
Also nur, um das nochmal klarzustellen:

Die Aussage des Supports, dass es nicht funktioniert, wenn man den Private key nicht hat, ist absolut richtig. Ohne Private Key keine Chance...
Falsch war nur die Tatsache, dass sie einfach davon ausgegangen sind, dass Du den key nicht hast, ohne die Hintergründe zu hinterfragen. Ich bin sicher, dass auch der Support weiss, dass in der kyr- Datei der Private key mit drinsteckt...
Die haben halt nur nicht die richtigen Fragen gestellt...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Bruce Willis

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.002
  • Geschlecht: Männlich
  • Wer nicht wagt...
Re: SSL Zertifikat erneuern
« Antwort #17 am: 02.07.20 - 14:51:33 »
Also nur, um das nochmal klarzustellen...

Danke, so ist es scheinbar gelaufen...

Nach Deinem vorherigen Posting habe ich bei HCL die Situation nochmals geschildert und explizit gefragt, warum sie mir so eine coole Lösung nicht vorgeschlagen hatten. Ich bin gespannt... :)
nobody is perfect but i'm pretty close 

Offline Bruce Willis

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.002
  • Geschlecht: Männlich
  • Wer nicht wagt...
Re: SSL Zertifikat erneuern
« Antwort #18 am: 02.07.20 - 20:15:33 »
...
Die haben halt nur nicht die richtigen Fragen gestellt...


Die meinen, ich solle trotzdem ALLE Zertifikate nochmals importieren:

Code

Hello Leo,
Greetings!
Hope you are doing great today.

I checked internally with team, it might work as keyring file already contains the private key imported earlier and we need to import all certificates, not only sitecert.cer.
Kindly import all certificates into the keyring file including intermediate till root certificate and then check.
However, there is no documentation available for such scenario.

nobody is perfect but i'm pretty close 

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.870
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: SSL Zertifikat erneuern
« Antwort #19 am: 03.07.20 - 07:37:34 »
Das ist doch genau das selbe was ich auch geschrieben habe: Zertifikate zusammenkopieren und importieren.... Man kann nicht mit 100% Sicherheit sagen, dass die Zertifizierungsstelle seit dem letzten Mal nicht die Zwischenzertifizierungsstellen ausgetauscht hat, deshalb importiert man immer die gesamte Zertifikatskette, aber halt ohne Private Key....
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz