Top 2 – Serverzertifikate für Domino TLS-Verschlüsselung erstellen
Fehlerbeschreibung
Transport Layer Security (TLS, auch bekannt unter der Vorgängerbezeichnung Secure Sockets Layer / SSL), ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Verschiedene Domino Protokolle verwenden diese Verschlüsslung für eine gesicherte Datenübertragung (iNotes, Verse, Traveler). Die Version TLS 1.2 ist seit dem Jahr 2008 verfügbar, die aktuelle Version TLS 1.3 wird von Domino derzeit noch nicht unterstützt.
Domino verwendet für die Speicherung der Zertifikate eine eigene Schlüsselringdatei (hier „keyring-host.kyr“ mit zugehöriger Kennwortdate „keyring-host.sth“).
Leider verfügt Domino 11.0.1 über kein „bordeigenes“ Werkzeug zur Erstellung von TLS-Serverzertifikaten. Für die Erstellung werden zwei externe Werkzeuge benötigt:
1) OpenSSL
Cryptography and SSL/TLS Toolkit
https://www.openssl.org/source/
2) Kyrtool
Installing and Running the Domino keyring tool
Serverzertifikate für Domino TLS können
Hinweis: Domino 12 wird die Zertifikatserstellung mit Hilfe von Let’s Encrypt (einer freien, automatisierten und offenen Zertifizierungsstelle mit sehr großer Reichweite im Internet) unterstützen.
Managing certificates (Let’s Encrypt CA)
https://help.hcltechsw.com/domino/earlyaccess/secu_le_managing-certs_from_LE.html
Ferner wird die Unterstützung von PEM Dateien die in diesem Dokument beschriebene Vorgehensweise ersetzen
Requesting and importing a key and certificate from third-party CA
https://help.hcltechsw.com/domino/earlyaccess/wn_simplified_procedure_third_party_certs.html
Fehlerbehebung
Erstellen Sie ein CA signiertes oder selbst signiertes Serverzertifikat anhand der Vorgehensweise in den genannten Quellen.
Quellen
Methode a) CA signiertes Serverzertifikat
Generating a keyring file with a third party CA SHA-2 cert using OpenSSL and KYRTool on a Windows workstation
Methode b) Selbst signiertes Serverzertifikat
Generating a keyring file with a self-signed SHA-2 cert using OpenSSL and kyrtool
https://support.hcltechsw.com/csm?id=kb_article&sys_id=8ea76f161bca845883cb86e9cd4bcb82
Tipps
Ein nützliches Testwerkzeug für das neu erstelle TLS Serverzertifikat stellt Qualys SSL Labs bereit (LINK: https://www.ssllabs.com/ssltest/). Mögliche Fehlkonfiguration führen zu einer geringeren Reputation und sollten wie beschrieben behoben werden.
Konfiguration mit Fehlern
Geeignete Konfiguration
