Autor Thema: SSL Zertifikat von Windows AD in Zertifikat von Windows AD in Domino integrieren  (Gelesen 2272 mal)

Offline maxritti

  • Senior Mitglied
  • ****
  • Beiträge: 490
Hallo zusammen,

ich habe da mal eine allgemeine Frage zum Thema SSL auf einem Dominoserver.
Bin in der Thematik nicht wirklich drin und schon einiges gesucht, komme aber nicht wirklich weiter.

Wir sollen auf unserem Travelerserver ein neues SSL Zertifikat installieren, da das derzeit existierende self signed nicht mehr ausreichend ist.
Nun soll ein SSL Zertifikat von Windows AD für den Travelerserver generiert werden. In welche Form uns das dann zugestellt wird, ist noch unklar.

Nun habe ich aber so die Frage, wie kann das dann in Domino integeriert werden?
Die Artikel, welche ich so im Internet finde besagen so sehe ich, dass auf dem Domino zunächst ein Certificats Request erstellen muss und dieser dann weiter verarbeitet werden muss.
Ist das so, dass initiall auf dem Domino was gemacht werden muss oder kann ein komplett vom AD geliefertes Zertifikat in Domino integriert werden?
Wenn ja, hat dazu jemand Tips, wie das geht?

Danke schön für etwaige Tips.

Offline Manfred W.

  • Aktives Mitglied
  • ***
  • Beiträge: 149
  • Geschlecht: Männlich
Hallo,

also grundsätzlich ist es so, dass du für Domino die Zertifikate in einem Keyring file (.kyr) benötigst.
Der normale Weg bei Domino 9 wäre, eine Server Certificate Admin Datenbank anzulegen. Die generiert dann das Keyring file, den privaten Schlüssel und einen Zertifikatsrequest. Diesen Zertifikatsrequest müssen die AD Jungs dann verwenden um das Zertifikat zu generieren (damit das Zertifikat zum privaten Schlüssel passt).
Wenn du das Zertifikat dann hast, musst du zuerst das CA Zertikat (und evtl. Intermediate Zertikate - also die gesamte Zertifikatskette) mittels des Server Certificate Admins importieren, und dann das Zertifikat des Servers. Dann die .kyr und .sth Datei ins Notes Data des Server kopieren, und den Namen der .kyr Datei ins Server Dokument eintragen (Internet Ports).

Es gibt aber auch den Weg über das kyrtool am Server (Kommandozeilen-Tool) - bei Domino 11 ist das der Standard-Weg, da gibt es die Server Certificate Admin Datenbank nicht mehr. Damit kannst du auch einen Keyring erstellen und ein komplett vom AD geliefertes Zertifikat (inkl. privaten Schlüssel) importieren.
Dafür wäre die Anleitung zu Domino 11 ein guter Anlaufpunkt:
https://help.hcltechsw.com/domino/11.0.1/admin/conf_settingupsslonadominoserver_t.html

Grüße
Manfred

Offline maxritti

  • Senior Mitglied
  • ****
  • Beiträge: 490
Danke Dir schon mal.

Den zweite Punkt mit dem kyrtool könnte ich dann auch dem Domino 9 Server nutzen?
D.h. auf einem 10er (wo es das ja auch gibt) oder 11er Server den Keyring erstellen, dann importieren und das dann auf dem 9er Traveler nutzen?

Wobei ich doch eher zum 9er Server passend den ersten Weg wählen würde.
Aber irgendwie finde ich das Template für die "Server Certificate Admin Datenbank" nicht. Heisst doch normalerweise certsrv.ntf?
Haben die mir hier wohl geklaut.  :-\

Offline maxritti

  • Senior Mitglied
  • ****
  • Beiträge: 490
Jetzt habe ich die existierende DB einfach mal kopiert, einen neuen Key Ring erstellt und dann einen Certificate Request.
Diesen haben die AD Jungs bekommen und lieferten mir nun dies:

servername_base64.cer
servername_base64.p7b
servername_der.cer
servername_der.p7b


Das sind angeblich die Zertifikate.

Wenn ich nun aber per "Install Trusted Root Certificate" auf den Dateien ausführe kommt dies:

"Cannot find certificate issuer among trusted roots"

Die beiden ersten sind mit notepad lesbar, da habe ich "Base 64 encoding" gewählt, steht ja auch im Dateinamen.  :)
Bei den letzten beiden "Binary file format"

Hast Du dazu eine Idee?
Muss das zurück an die AD Kollegen?

/EDIT:

Zitat
musst du zuerst das CA Zertikat

Das war noch nicht dabei. Mal schauen wie weit ich nun kommen.
« Letzte Änderung: 26.08.20 - 11:13:10 von maxritti »

Offline CarstenH

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 668
  • Geschlecht: Männlich
Ich würde die (m.E. hoffnungslos veraltete) DB links liegen lassen und die Schritte manuell per Kommandozeile ausführen, zum einen weißt du dann was du tust und was passiert und zum anderen entspricht das sowieso der empfohlenen Vorgehensweise.

Nimm dazu die HCL Anleitung (PDF), die man findet, wenn man dem Link von Manfred an der richtigen Stelle folgt:

https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0073309&sys_kb_id=4afe8c9e1bcb041483cb86e9cd4bcbb2

HTH
Carsten


Offline maxritti

  • Senior Mitglied
  • ****
  • Beiträge: 490
Danke Carsten.
Dann schaue ich da mal vorbei.

Müssen die Kollegen dann halt noch mal neue Zertifikate bauen.
Mal schauen ob ich Prügel bekomme.  ::)

Offline Manfred W.

  • Aktives Mitglied
  • ***
  • Beiträge: 149
  • Geschlecht: Männlich
Also von den Dateien die du hast, würde ich die base64.cer nehmen.
Wie du schon richtig erkannt hast, brauchst du erst noch das Root Zertifikat (und evtl. Zwischenzertifikate) von der AD CA.

In der Server Certificate Admin Datenbank installierst du mit "Install Trusted Root Certificate Into Key Ring" die CA Zertifikate von oben nach unten, also erst Root und dann die evtl. Zwischenzertifikate.
Und dann mit "Install Certificate Into Key Ring" das Zertifikat des Domino Servers.


Oder du fängst nochmal von vorne an und machst das mit dem kyrtool. Aber so schlimm finde ich die Server Certificate Admin Datenbank auch nicht.
« Letzte Änderung: 26.08.20 - 11:23:44 von Manfred W. »

Offline maxritti

  • Senior Mitglied
  • ****
  • Beiträge: 490
Hat jetzt funktioniert.
Zumindest sagt mir die DB, es sei alles gut.  :D

Mal schauen wann wir eine kleine Downtime machen können um das zu testen.

Wobei die von Carsten und Dir angegebene Doku schon ausgedruckt hier liegt.

Vielen Dank an Euch beide.

Offline DomAdm

  • Senior Mitglied
  • ****
  • Beiträge: 359
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Hallo,

Zur Beachtung:

https://support.hcltechsw.com/csm?sys_kb_id=10db1ca81b2df30083cb86e9cd4bcb50&id=kb_article_view&sysparm_rank=1&sysparm_tsqueryId=2606ccb21bf29890beab64e6ec4bcbfe

"At the time of writing the Domino Server Certificate Admin database has not been upgraded to handle SHA-2 certificates."

"However due to the fact that any key ring file created with the Server Certificate Admin database will have MD5 signatures, the steps have been removed due to the issues surrounding key ring files with MD5 signatures and TLSv1.2 as outlined in the following technote http://www-01.ibm.com/support/docview.wss?uid=swg21701159

The only solution is to follow the steps to use OpenSSL and the new Domino KYRTool to create a new
certificate and key ring.

http://www-10.lotus.com/ldd/dominowiki.nsf/dx/3rd_Party_SHA-2_with_OpenSSL_and_kyrtool"
Jacob

Offline DomAdm

  • Senior Mitglied
  • ****
  • Beiträge: 359
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Das noch:
https://support.hcltechsw.com/csm?sys_kb_id=08fccb9d1bedc05c77761fc58d4bcbb5&id=kb_article_view&sysparm_rank=14&sysparm_tsqueryId=b998407e1b369890beab64e6ec4bcb8a

"Previously, Domino servers used the Domino Server Certificate Admin database to manage keyrings and server certificates. However, this database does not allow for importing SHA-2 certificates. It is now recommended to only use SHA-2 certificates for SSL, due to security concerns

Because of this limitation with the Server Certificate Admin database, the documentation on using it in Domino Administrator Help and earlier revisions of this technote should not be used when an SSL certificate is required on a Domino server."
Jacob

Offline maxritti

  • Senior Mitglied
  • ****
  • Beiträge: 490
Danke auch Dir DomAdm.

Darum liebe ich dieses Forum.
Kompetente und schnelle Hilfe.  :D

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz