Jiří Jarošek | SSL a Domino server |
| Dobrý den,
chtěl jsem na našem Domino serveru zprovoznit SSL pro HTTP. Nemám rozeběhnutou certifikační autoritu na Dominu, protože nám běží na jiném serveru. Obdržel jsem pro server certifikat, ale ve formátu "cert.p12". Můžete mi někdo poradit, jak tento certifikát dostanu do Lotus Domino popř. jak z něho vyrobím "cert.kyr a cert.sh"?
Děkuji všem |
VZ | certsrv.nsf |
03.07.2013 11:03:32
ID: 3502.1
| Na serveru je aplikace Server Certificate Admin (certsrv.nsf), kde jsou čtyři jednoduché kroky: 1. zadáte jméno souboru s příponou .kyr a heslo k němu, určíte délku jeho klíče a zadáte popis. Common name v popisu by mělo odpovídat existujícímu DNS jménu toho serveru, např. www.firma.cz. Je tam možní mít i wildcard místo více jmen, např. *.firma.cz, pokud to ta certifikační autorita podporuje.
2. si vygenerujete certifikační požadavek k danému .kyr soubor (bude nutné zadat to heslo vytvořené v bodu 1), a ten požadavek předáte k certifikování nějaké té Vaší (nebo cizí) certifikační autoritě (CA) - obvykle stačí přes clipboard do webového rozhraní CA.
3. Pak si stáhnete z webu CA její veřejně dostupný Trusted root certifikát a ten nainstalujete do toho .kyr souboru.
4. Až ten požadavek z bodu 2 ta CA ocertifikuje, tak z ní stáhnete certifikát a ten v bodu 4. nainstalujete do .kyr souboru.
Je tam samozřejmě i možnost vygenerovat self-certified certificate bez nutnosti použít CA.
Pak najdete u sebe v datovém adresáři ten soubor .kyr a také soubor se stejným jménem a příponou .sth. Oba je třeba nahrát do datového adresáře na Domino server, aby SSL mohlo fungovat. Do konfigurace (buď v server dokumentu anebo ve 'web site configuration') se zadává sice jen název .kyr souboru, ale bez toho .sth ve stejném adresáři to nebude fungovat.
Je to také popsáno v Admin. helpu - Security\SSL Security\Setting up SSL on a Domino server. Občas ta aplikace 'Server Certificate Admin' trochu zlobí (hlásí při kliknutí na něco tuším Invalid or non-existent document), ale stačí ji zavřít a znovu otevřít a pak to kliknutí projde bez problémů. |
Luboš Černý | Re: certsrv.nsf |
03.07.2013 15:09:12
ID: 3502.2
| Souhlas, jen doplním, že některé veřejné CA již nepodporují CSR žádosti v MD5 ani SHA1 (starší verze LD). Pak je řešením negenerovat žádost na dominu, ale až na CA a do KYR souboru naimportovat hotový certifikát pomocí IBM iKeyMan.
Postup jsem popisoval na link1
|
Luboš Černý | Re: certsrv.nsf |
03.07.2013 15:14:28
ID: 3502.3
| Tak původní dokumentace z článku již není k dispozici, tak alespoň postup, jak pomocí iKeyManu importovat *.pfx certifikát do *.KYR souboru.
Postup je je v článku Moving an IIS SSL certificate to a Domino Keyring File: link1
|
Jiří Jarošek | Díky VZ |
10.07.2013 10:56:15
ID: 3502.4
| Děkuji, přesně podle vašeho návodu vše zafungovalo. |