AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
21.10.20 - 00:32:15
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News:
Schnellsuche:
+  Das Notes Forum
|-+  Lotus Notes / Domino 9
| |-+  ND9: Administration & Userprobleme (Moderatoren: Axel, Thomas Schulte, koehlerbv)
| | |-+  SSL Zertifikat erneuern
« vorheriges nächstes »
Seiten: [1] 2 Nach unten Drucken
Autor Thema: SSL Zertifikat erneuern  (Gelesen 1371 mal)
Bruce Willis
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 997


Wer nicht wagt...


« am: 30.06.20 - 11:47:24 »

Hallo,

auf einem Notes Server haben wir ein SSL Zertifikat MyName-2018.kyr für die Adresse MyName.de, das in ein paar Tagen abläuft.

Letzte Woche hat unser Einkauf dieses Zertifikat bei COMODO selbst verlängert, ohne welche Dateien von Notes Admins anzufordern bzw. zu bekommen.
Die Verlängerung ist als folgende 4 Dateien gekommen:

01.01.2004  01:00             1.517 AAACertificateServices.crt
25.06.2020  00:00             2.776 MyName.crt
02.11.2018  01:00             2.175 SectigoRSAOrganizationValidationSecureServerCA.crt
12.03.2019  01:00             1.968 USERTrustRSAAAACA.crt

Wie genau kann man jetzt das Zertifikat auf dem Server verlängern?
Kennt man eine gute Anleitung dafür?

Gruß
Leo
Gespeichert

nobody is perfect but i'm pretty close 
Bruce Willis
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 997


Wer nicht wagt...


« Antworten #1 am: 30.06.20 - 20:13:09 »

Wenn es jemanden interessiert, so kann das Zertifikat nicht verlängert werden.
Gespeichert

nobody is perfect but i'm pretty close 
eknori
@Notes Preisträger
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11465


« Antworten #2 am: 30.06.20 - 21:33:56 »

Du musst doch nur das neue cert in die .kyr Datei importieren.
Google mal nach kyrtool
Gespeichert
Bruce Willis
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 997


Wer nicht wagt...


« Antworten #3 am: 30.06.20 - 21:58:06 »

Es geht nicht ohne server.key. Leider.
Gespeichert

nobody is perfect but i'm pretty close 
eknori
@Notes Preisträger
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11465


« Antworten #4 am: 01.07.20 - 05:13:59 »

Gut, muss ich jetzt nicht verstehen ( zu wenig Informationen )
Nimm https://www.midpoints.de/de-solutions-LE4D Funktioniert bestens, und spart eine Menge Geld.
Gespeichert
Tode
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6503


Geht nicht, gibt's (fast) nicht... *g*


WWW
« Antworten #5 am: 01.07.20 - 08:11:40 »

ALSO: Um ein Zertifikat anzufragen braucht man einen Request, einen sogenannten CSR. Diesen sendet man an die ausstellende Stelle.
Der CSR wird von einem Private Key erzeugt.

Während Du das kyr- file erzeugt hast, hast Du auch einen Private key erzeugt (den man mittels kyrtool auch extrahieren könnte, braucht man aber nicht).
WENN Dein Einkauf den selben CSR vom letzten Mal benutzt hat, dann hast Du überhaupt kein Problem: Du importierst einfach die neue Zertifikatskette über

kyrtool.exe =D:\HCL\Notes\notes.ini import certs -k D:\ZZZZZ.kyr -i ZZZZZ.txt

WENN die sich selbst einen CSR gerechnet haben ODER einen CSR von jemand anderem verwendet haben, dann brauchst Du unweigerlich den zu dem CSR gehörigen Schlüssel.
Gibt es diesen Schlüssel nicht: Pech gehabt... Dann müsst ihr das Zertifikat neu beantragen, oder aber Du verwendest -wie Ulrich schreibt- LE4D: Ist kostenlos, sicher, und Du musst Dich -einmal eingerichtet- NIE MEHR um Zertifikatsverlängerung kümmern (so lange Letsencrypt gültige Zertifikate ausstellt).
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
netzgoetter
Frischling
*
Offline Offline

Beiträge: 41


WWW
« Antworten #6 am: 01.07.20 - 13:56:24 »

Man kann bei einigen offiziellen Zertifizierungsstellen / Zertifikatsanbietern als Beispiel PSW bei einer Verlängerung auch den "alten" initialen CSR verwenden.
Dann ist es immer noch der alte vorhandene private Key und es muß lediglich der signierte CSR in die KYR Datei neu importiert werden.

Gespeichert
Tode
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6503


Geht nicht, gibt's (fast) nicht... *g*


WWW
« Antworten #7 am: 01.07.20 - 14:55:21 »

Vollkommen korrekt, das meinte ich mit meiner Aussage "WENN Dein Einkauf den selben CSR vom letzten Mal benutzt hat...".

Aber danke, dass Du darauf nochmal explizit hingewiesen hast. Eurer LE4D ist aber trotzdem definitiv die bessere Wahl.
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
Bruce Willis
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 997


Wer nicht wagt...


« Antworten #8 am: 02.07.20 - 11:51:57 »

Gut, muss ich jetzt nicht verstehen ( zu wenig Informationen )
Nimm https://www.midpoints.de/de-solutions-LE4D Funktioniert bestens, und spart eine Menge Geld.

Vielen Dank für den Vorschlag!

Zur Erklärung:
Der Einkauf hatte bloß deren übliche "Verlängerung" bestellt, was bei unseren anderen Systemen (außer Notes) auch OK ist. Der Verkäufer hat für die neuen Zertifikate unseren alten CSR verwendet. Aber die alte server.key Datei haben wir nicht mehr. Wir haben jetzt den neuen CSR gemacht und die neuen Zertifikate ersetzen lassen.
« Letzte Änderung: 02.07.20 - 11:55:51 von Bruce Willis » Gespeichert

nobody is perfect but i'm pretty close 
Tode
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6503


Geht nicht, gibt's (fast) nicht... *g*


WWW
« Antworten #9 am: 02.07.20 - 12:00:00 »

Aber Du BRAUCHST doch die server.key gar nicht... Der Key ist doch in der kyr- Datei mit drin...

Einfach mit dem von mir geposteten Befehl das Zertifikat ins kyr- file importieren und gut ist...

Und wenn Du unbedingt den "import all" Befehl nutzen willst, dann machst Du vorher ein

kyrtool.exe =D:\HCL\Notes\notes.ini show keys -k ZZZZZ.kyr

Dann kopierst Du Dir den angezeigten Private key da raus und fügst ihn in Deine Text- Datei ein in der Reihenfolge

kopierter key
Myname.cert
OU- Cert
OU- Cert
Root- Cert

Das sieht dann so aus:
Code:
-----BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAvJGvF
...
Zaom3x6SbbooKHPGHTuhe
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
MIIGgDCCBWigAwIBAgITe
...
KZoWGm53rw3MI/d57cXl
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIF8jCCBNqgAwIBA
...
vbsv9cGkTExgc=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIF8jCCBNqgAwIBA
...
vbsv9cGkTExgc=
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIDgz
...
pwoEHQwxopC1
-----END CERTIFICATE-----

Ob Du alles richtig zusammenkopiert hast, kannst Du ja mit dem Befehl

kyrtool.exe =D:\HCL\Notes\notes.ini verify ZZZZZ.txt

prüfen.
« Letzte Änderung: 02.07.20 - 12:06:13 von Tode » Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
Bruce Willis
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 997


Wer nicht wagt...


« Antworten #10 am: 02.07.20 - 12:00:25 »

ALSO: Um ein Zertifikat anzufragen ...
WENN Dein Einkauf ...
WENN die sich selbst ...
LE4D: Ist kostenlos, sicher, und ...
Vielen Dank für Deine detaillierten Erklärungen!
Gespeichert

nobody is perfect but i'm pretty close 
Bruce Willis
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 997


Wer nicht wagt...


« Antworten #11 am: 02.07.20 - 12:05:48 »

Aber Du BRAUCHST doch die server.key gar nicht... Der Key ist doch in der kyr- Datei mit drin...

Einfach mit dem von mir geposteten Befehl das Zertifikat ins kyr- file importieren und gut ist...

ECHT???

Müsste ich also nur etwa so auf dem alten keyring.kyr ausführen?
kyrtool import certs -i c:\Temp\SSL\MyName.crt -k c:\Temp\SSL\keyring.kyr

Aber dann, hat mir HCL Support nur Mist erzählt, dass man die server.key in unserem Fall unbedingt braucht???
Gespeichert

nobody is perfect but i'm pretty close 
Tode
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6503


Geht nicht, gibt's (fast) nicht... *g*


WWW
« Antworten #12 am: 02.07.20 - 12:06:47 »

Frag doch nicht den Support, sondern jemanden, der sich wirklich auskennt... Wink

Die haben vermutlich NICHT angenommen, dass der Einkauf den selben CSR wiederverwendet hat (was bedeutet, dass Du den key hast, wenn auch nicht als dedizierte Datei)...
Wenn die Reihenfolge in der Datei stimmt, dann funktioniert Dein Befehl.
Die Reihenfolge kannst Du mit dem Befehl in FETT unten checken

Für Hilfe kannst Du auch kyrtool selbst fragen:

Zitat
'import all' will import an RSA keypair and the server's certificate chain into the
    keyring file. The input file must contain a '-----BEGIN RSA PRIVATE KEY-----' and
    at least one '-----BEGIN CERTIFICATE-----' PEM blob.
    This operation combines the functionality of 'import keys' and 'import certs'
    without the need to correctly specify a distinguished name.
    The 'kyrtool verify file.pem' command can be used to check the file before importing.

'import roots' will import one or more certificates into the keyring file as trusted roots.
    The input file must contain one or more '-----BEGIN CERTIFICATE-----' PEM blobs.

'import keys' will import an RSA keypair into the keyring file, but requires
    the distinguished name from the leaf cert (CN=www.example.com) as input.
    The input file must contain a '-----BEGIN RSA PRIVATE KEY-----' PEM blob.
    'kyrtool show keys -i file.pem' can be used to check the file before importing.

'import certs' will import the server's certificate chain into the keyring file.
    The input file must contain one or more '-----BEGIN CERTIFICATE-----' PEM blobs.
    The certificate chain must be ordered with the leaf first and the root last.
    'kyrtool show certs -i file.pem' can be used to check the file before importing.
« Letzte Änderung: 02.07.20 - 12:12:12 von Tode » Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
eknori
@Notes Preisträger
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 11465


« Antworten #13 am: 02.07.20 - 12:17:11 »

Müsste ich also nur etwa so auf dem alten keyring.kyr ausführen?
kyrtool import certs -i c:\Temp\SSL\MyName.crt -k c:\Temp\SSL\keyring.kyr

Nichts anderes hatte ich bereits hier https://atnotes.de/index.php/topic,62854.msg401222.html#msg401222 geschrieben
Gespeichert
Bruce Willis
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 997


Wer nicht wagt...


« Antworten #14 am: 02.07.20 - 13:28:52 »

Frag doch nicht den Support, sondern ...

Krasssssss!

Nochmals vielen Dank!
Gespeichert

nobody is perfect but i'm pretty close 
Bruce Willis
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 997


Wer nicht wagt...


« Antworten #15 am: 02.07.20 - 13:30:42 »

Nichts anderes hatte ich ...
Ja, Danke und Sorry, ich hab leider nicht begriffen.
Gespeichert

nobody is perfect but i'm pretty close 
Tode
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6503


Geht nicht, gibt's (fast) nicht... *g*


WWW
« Antworten #16 am: 02.07.20 - 14:37:42 »

Also nur, um das nochmal klarzustellen:

Die Aussage des Supports, dass es nicht funktioniert, wenn man den Private key nicht hat, ist absolut richtig. Ohne Private Key keine Chance...
Falsch war nur die Tatsache, dass sie einfach davon ausgegangen sind, dass Du den key nicht hast, ohne die Hintergründe zu hinterfragen. Ich bin sicher, dass auch der Support weiss, dass in der kyr- Datei der Private key mit drinsteckt...
Die haben halt nur nicht die richtigen Fragen gestellt...
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
Bruce Willis
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 997


Wer nicht wagt...


« Antworten #17 am: 02.07.20 - 14:51:33 »

Also nur, um das nochmal klarzustellen...

Danke, so ist es scheinbar gelaufen...

Nach Deinem vorherigen Posting habe ich bei HCL die Situation nochmals geschildert und explizit gefragt, warum sie mir so eine coole Lösung nicht vorgeschlagen hatten. Ich bin gespannt... Smiley
Gespeichert

nobody is perfect but i'm pretty close 
Bruce Willis
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 997


Wer nicht wagt...


« Antworten #18 am: 02.07.20 - 20:15:33 »

...
Die haben halt nur nicht die richtigen Fragen gestellt...


Die meinen, ich solle trotzdem ALLE Zertifikate nochmals importieren:

Code:

Hello Leo,
Greetings!
Hope you are doing great today.

I checked internally with team, it might work as keyring file already contains the private key imported earlier and we need to import all certificates, not only sitecert.cer.
Kindly import all certificates into the keyring file including intermediate till root certificate and then check.
However, there is no documentation available for such scenario.

Gespeichert

nobody is perfect but i'm pretty close 
Tode
Moderatoren
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6503


Geht nicht, gibt's (fast) nicht... *g*


WWW
« Antworten #19 am: 03.07.20 - 07:37:34 »

Das ist doch genau das selbe was ich auch geschrieben habe: Zertifikate zusammenkopieren und importieren.... Man kann nicht mit 100% Sicherheit sagen, dass die Zertifizierungsstelle seit dem letzten Mal nicht die Zwischenzertifizierungsstellen ausgetauscht hat, deshalb importiert man immer die gesamte Zertifikatskette, aber halt ohne Private Key....
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
Seiten: [1] 2 Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: