Certificate Store voor SSL certificaten

Sinds Domino versie 12 is er weer een nieuwere methode om SSL certificaten te beheren binnen de Domino omgeving.
HCL introduceerde daarvoor een nieuwe servertaak, Certificate Manager (CertMgr), die samenwerkt met een nieuwe database, Certificate Store (certstore.nsf), om de generatie van TLS-certificaten van de Let’s Encrypt-certificeringsinstantie (CA) en andere externe CA’s te automatiseren.
CertMgr vereenvoudigt en beveiligt de werking van de Domino-webserver door automatisch gratis, breed vertrouwde TLS-certificaten aan te vragen, te configureren en te verlengen bij de Let’s Encrypt-certificeringsinstantie (CA) of een andere externe CA.

In de Certificate Store kunnen ACME accounts, , DNS Providers en Configuaties, Trusted Roots, wachtwoorden en TLS Credentials worden ingesteld en opgeslagen.

Gebruik van de Certificate Store Applicatie:

De CertMgr-servertaak werkt met de Certificate Store-database (certstore.nsf) om certificaataanvragen en -beheer te vereenvoudigen. Als uw HCL Domino-server via uitgaande poort 443 en inkomende poort 80/443 met internet is verbonden, kunt u een certificaataanvraag genereren door (eenmalig) de volgende opdracht op de serverconsole uit te voeren:
load certmgr -ACCEPT_TOU_AUTO_CONFIG

(gelijk aan: load certmgr -r -c -o -y -ACCEPT_TOU )
Met deze opdracht voert CertMgr de volgende stappen uit:
Accepteert de gebruiksvoorwaarden voor de Let’s Encrypt®-certificeringsinstantie (-ACCEPT_TOU).
Certstore.nsf wordt aangemaakt.
De hostnaam van de machine wordt bepaald en een eerste certificaat wordt aangevraagd (-r).
Het DSAPI-filter wordt geconfigureerd (-c).
HTTP wordt gestart (-o) of HTTP wordt opnieuw gestart als deze al actief is (-c).
Een certificaat wordt aangevraagd bij de Let’s Encrypt-certificeringsinstantie via het ACMEv2-protocol.
Een .kyr-bestand wordt gegenereerd en op schijf opgeslagen.
HTTP wordt opnieuw gestart om het .kyr-bestand te laden (-y).
Ditzelfde certificaataanvraagscenario kan worden geautomatiseerd met behulp van de volgende notes.ini-instellingen:
CertMgr_ACCEPT_TOU=1
CertMgr_AutoRequestCert=1
CertMgr_AutoConfig=1
CertMgr_AutoConfigHttp=1
CertMgr_RestartHttp=1

Importeren

Een eigen certificaat importeren in de TLS credentials van de Certificate Store kan natuurlijk ook.
Zorg dan dat de hele certificaat keten uit bijvoorbeeld een PEM bestand formaat in een nieuw PEM bestand komt te staan met als eerste de tekst uit de private key. Noem dit bestand bijvoorbeeld fullchain.pem.

—–BEGIN PRIVATE KEY—–
==content==
—–END PRIVATE KEY—–
—–BEGIN CERTIFICATE—–
==content==
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
==content==
—–END CERTIFICATE—–

Maak gebruik van een bestaande, of maak een nieuwe TLS credential in de Certificate Store.

Importeer het eerder gemaakte gecombineerde bestand.

Certificaat koppelen aan Website

De TLS-cache zorgt voor het vinden van TLS-referenties. Het opzoeken kan via de DNS-naam, wat de nieuwe voorkeursmethode is. U vervangt dus de kyr-bestandsnaam door de DNS-naam. De nieuwe cache begrijpt ook KYR-bestandsnamen en gebruikt deze als tag voor het opzoeken.

Maar dan moet in het TLS-referentiedocument de kyr-bestandsnaam zijn ingesteld (wat optioneel is in het TLS-referentiedocument en bedoeld is voor dit gebruik). De juiste manier is om altijd een DNS-naam op te geven. De nieuwe TLS-cache begrijpt DNS-namen, inclusief wildcard-certificaten, en ondersteunt meerdere SAN’s.

Voorbeeld van een Web Site document:

Met een bijbehorende  TLS referentie:

Controle

 

Door de certificaten met de Key file naam te vergelijken kan gecontroleerd worden of er een verband is tussen de TLS Credential en het Web Site document.

> tell certmgr show certs
[19D0:0002-5264] Subject key identifier Key info Expiration KeyFile/Tag Host names (SANs)
[19D0:0002-5264] ——————————————————————————————————————————————————
[19D0:0002-5264] D5A9 FD93 2843 8506 … RSA 2048 88,6 days mrpowerzbook.ineco.nl
[19D0:0002-5264] ——————————————————————————————————————————————————
[19D0:0002-5264] 1 TLS Credentials

> tell http show security
09-05-2025 22:56:17
09-05-2025 22:56:17 Web Site: test (mrpowerzbook.ineco.nl)
09-05-2025 22:56:17 SSL enabled
09-05-2025 22:56:17 Key file name: c:\program files\hcl\domino12\data\mrpowerzbook.ineco.nl

Belangrijk nieuws voor klanten die nog Domino / Notes v9 of v10 gebruiken!

Onze klanten die nog gebruik maken van Domino / Notes v9.0x of v10.0x willen wij waarschuwen dat HCL, door de onlangs uitgebrachte Domino v12 versie en de aanstaande Domino “Danube”versie (gepland voor eind 2022), stopt met leveren van de software en ondersteuning van deze oude versies.

End of Marketing (EOM) – HCL stopt met de verkoop van deze specifieke productversies en verwijdert ze met ingang van 1 december 2022 van het HCL-licentie- en download portaal (FlexNet).

Einde van ondersteuning (EOS) – HCL stopt met het leveren van ondersteuning voor deze versies met ingang van 1 juni 2024.

Klanten met een actuele overeenkomst met HCL blijven toegang houden tot de recentere software versies van Domino en Notes zodat de oude software opgewaardeerd kan worden naar een recente versie om zo verzekerd te blijven van ondersteuning.

Uitgebreide ondersteuning – vanwege de ouderdom van deze releases biedt HCL geen uitgebreide ondersteuning voor deze specifieke productversies.

De reden is dat HCL alleen nog tijd en geld wil investeren in recente versies, die aan architectuur inmiddels te veel afwijken van de oude versies.

Waarom zou u willen opwaarderen?

Door Domino te upgraden, kunt u gebruikmaken van uitgebreide nieuwe functies en beveiligingsrisico’s van verouderde versies verminderen.
Voor een update over wat er is toegevoegd in Domino v12, bekijk dit document https://help.hcltechsw.com/domino/12.0.0/admin/wn_12.0.1.html
Of lees dit Blog item van Cormac McMarthy: https://blog.hcltechsw.com/domino/hcl-domino-v12-the-4-new-security-features-youve-been-waiting-for/

INECO kan u natuurlijk helpen met opwaarderen van oudere versies van Domino / Notes naar de meest recente versie of u verder informeren over de voordelen van deze nieuwe versie.

Bron: https://blog.hcltechsw.com/domino/transformation-awaits-upgrade-to-hcl-domino-v12-now/