Tag Archives: SSL

Certificate Store voor SSL certificaten

Posted on by

Sinds Domino versie 12 is er weer een nieuwere methode om SSL certificaten te beheren binnen de Domino omgeving.
HCL introduceerde daarvoor een nieuwe servertaak, Certificate Manager (CertMgr), die samenwerkt met een nieuwe database, Certificate Store (certstore.nsf), om de generatie van TLS-certificaten van de Let’s Encrypt-certificeringsinstantie (CA) en andere externe CA’s te automatiseren.
CertMgr vereenvoudigt en beveiligt de werking van de Domino-webserver door automatisch gratis, breed vertrouwde TLS-certificaten aan te vragen, te configureren en te verlengen bij de Let’s Encrypt-certificeringsinstantie (CA) of een andere externe CA.

In de Certificate Store kunnen ACME accounts, , DNS Providers en Configuaties, Trusted Roots, wachtwoorden en TLS Credentials worden ingesteld en opgeslagen.

Gebruik van de Certificate Store Applicatie:

De CertMgr-servertaak werkt met de Certificate Store-database (certstore.nsf) om certificaataanvragen en -beheer te vereenvoudigen. Als uw HCL Domino-server via uitgaande poort 443 en inkomende poort 80/443 met internet is verbonden, kunt u een certificaataanvraag genereren door (eenmalig) de volgende opdracht op de serverconsole uit te voeren:
load certmgr -ACCEPT_TOU_AUTO_CONFIG

(gelijk aan: load certmgr -r -c -o -y -ACCEPT_TOU )
Met deze opdracht voert CertMgr de volgende stappen uit:
Accepteert de gebruiksvoorwaarden voor de Let’s Encrypt®-certificeringsinstantie (-ACCEPT_TOU).
Certstore.nsf wordt aangemaakt.
De hostnaam van de machine wordt bepaald en een eerste certificaat wordt aangevraagd (-r).
Het DSAPI-filter wordt geconfigureerd (-c).
HTTP wordt gestart (-o) of HTTP wordt opnieuw gestart als deze al actief is (-c).
Een certificaat wordt aangevraagd bij de Let’s Encrypt-certificeringsinstantie via het ACMEv2-protocol.
Een .kyr-bestand wordt gegenereerd en op schijf opgeslagen.
HTTP wordt opnieuw gestart om het .kyr-bestand te laden (-y).
Ditzelfde certificaataanvraagscenario kan worden geautomatiseerd met behulp van de volgende notes.ini-instellingen:
CertMgr_ACCEPT_TOU=1
CertMgr_AutoRequestCert=1
CertMgr_AutoConfig=1
CertMgr_AutoConfigHttp=1
CertMgr_RestartHttp=1

Importeren

Een eigen certificaat importeren in de TLS credentials van de Certificate Store kan natuurlijk ook.
Zorg dan dat de hele certificaat keten uit bijvoorbeeld een PEM bestand formaat in een nieuw PEM bestand komt te staan met als eerste de tekst uit de private key. Noem dit bestand bijvoorbeeld fullchain.pem.

—–BEGIN PRIVATE KEY—–
==content==
—–END PRIVATE KEY—–
—–BEGIN CERTIFICATE—–
==content==
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
==content==
—–END CERTIFICATE—–

Maak gebruik van een bestaande, of maak een nieuwe TLS credential in de Certificate Store.

Importeer het eerder gemaakte gecombineerde bestand.

Certificaat koppelen aan Website

De TLS-cache zorgt voor het vinden van TLS-referenties. Het opzoeken kan via de DNS-naam, wat de nieuwe voorkeursmethode is. U vervangt dus de kyr-bestandsnaam door de DNS-naam. De nieuwe cache begrijpt ook KYR-bestandsnamen en gebruikt deze als tag voor het opzoeken.

Maar dan moet in het TLS-referentiedocument de kyr-bestandsnaam zijn ingesteld (wat optioneel is in het TLS-referentiedocument en bedoeld is voor dit gebruik). De juiste manier is om altijd een DNS-naam op te geven. De nieuwe TLS-cache begrijpt DNS-namen, inclusief wildcard-certificaten, en ondersteunt meerdere SAN’s.

Voorbeeld van een Web Site document:

Met een bijbehorende  TLS referentie:

Controle

 

Door de certificaten met de Key file naam te vergelijken kan gecontroleerd worden of er een verband is tussen de TLS Credential en het Web Site document.

> tell certmgr show certs
[19D0:0002-5264] Subject key identifier Key info Expiration KeyFile/Tag Host names (SANs)
[19D0:0002-5264] ——————————————————————————————————————————————————
[19D0:0002-5264] D5A9 FD93 2843 8506 … RSA 2048 88,6 days mrpowerzbook.ineco.nl
[19D0:0002-5264] ——————————————————————————————————————————————————
[19D0:0002-5264] 1 TLS Credentials

> tell http show security
09-05-2025 22:56:17
09-05-2025 22:56:17 Web Site: test (mrpowerzbook.ineco.nl)
09-05-2025 22:56:17 SSL enabled
09-05-2025 22:56:17 Key file name: c:\program files\hcl\domino12\data\mrpowerzbook.ineco.nl

Apache of IIS als Reverse Proxy voor Domino

Posted on by

Gisteren bij een klant een Domino server voorzien van een wildcard SSL certificaat.
Klant heeft meerdere (sub)domeinen maar slechts 1 publiek IP-adres.
Voor sites draaiend op HTTP geen enkel probleem, maar zelfs in versie 9 van Domino is het nog steeds niet mogelijk om meerdere SSL sites op 1 IP-adres te configureren.
Ik ben echt een groot liefhebber van IBM en Domino/Notes in het bijzonder, maar dat simpele dingen zoals dit nog steeds niet kan vind ik echt een misser!
http://www-01.ibm.com/support/docview.wss?uid=swg21173919

Meestal plaats ik er dan maar een Apache HTTP of Microsoft Internet Information Services (IIS) server als Reverse Proxy voor (vaak op de zelfde machine), configureer de SSL sites en stuur ze intern door naar Domino via http op een andere poort, bijvoorbeeld poort 1080, zodat IIS of Apache op poort 80 een 443 kan draaien.
In zowel Apache HTTP als IIS servers is het geen probleem om meerdere SSL/HTTPS sites aan 1 IP-adres te koppelen.

IIS

Voor IIS 8 ziet het er dan als volgt uit:
iis_rewrite01

iis_rewrite02

iis_rewrite03

iis_rewrite04

Apache

Voor Apache zijn er ook wel mooie interfaces, maar een tekstverwerker is snel en werkt ook prima:

<VirtualHost *:80>
ServerName demobedrijf.nl
RewriteEngine On
RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]
</VirtualHost>

<VirtualHost *:443>
ServerName demobedrijf.nl
SSLEngine on
SSLProtocol ALL -SSLv2 -SSLv3
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!RC4+RSA:+HIGH:+MEDIUM
SSLCertificateFile “C:/Program Files/Apache/conf/ssl/star_ demobedrijf_nl.crt”
SSLCertificateKeyFile “C:/Program Files/Apache/conf/ssl/star_ demobedrijf_nl.key”
SSLCertificateChainFile “C:/Program Files/Apache/conf/ssl/Comodo_PositiveSSL_bundle.crt”
ProxyPass / http://demobedrijf.nl:1080/
ProxyPassReverse / http://demobedrijf.nl:1080/
</VirtualHost>

De webserver die als Proxy fungeert  luistert dan naar poort 80 en 443.
iis_bindings

En Domino staat ingesteld op  bijvoorbeeld poort 1080.

domino_bindings

Doordat de reverse proxy server intern via het gewone HTTP protocol verstuurd zal Domino geen probleem hebben om het juiste website document te koppelen aan het verzoek.

 

SSL certificaat omzetten naar Domino kyr bestand – de nieuwe methode

Posted on by

Vorig jaar schreef ik een stukje op dit blog over het omzetten van een wildcard certificaat naar een Domino kyfile om te gebruiken met de Domino webserver.
Dit moest toen nog met een omslachtige methode die hier beschreven is: ssl-certificaat-omzetten-naar-domino-kyr-bestand

Met een IBM Domino Administrator / IBM Notes cliënt vanaf versie 9.0.1 FP2 IF2 is het importeren van een (SHA-2) (wildcard) certificaat van een ander systeem zoals Microsoft Internet Information Services zonder een nieuw Certificate Signing Request een fluitje van een cent geworden.

Deze stappen beschrijven het proces op een Microsoft besturingssysteem.

Benodigdheden:

  • IBM Domino Administrator / IBM Notes, minimaal versie 9.0.1 FP2 IF2, of HCL versies vanaf 10.x.
  • OpenSSL (www.openssl.org)
  • Domino Keyring Tool (support.hcltechsw.com)
  • Eenvoudige tekstverwerker zoals kladblok of Notepad++

Installeer de benodigde programma’s op het werkstation.

Kopieer kyrtool.exe naar de Notes programma map waar ook nlnotes.exe staat e.d.

Indien het certificaat geen pfx bestand is dient dient het wildcard certificaat eerst te worden geëxporteerd of te worden omgezet naar een pfx bestand. Zorg er voor zowel de private key en alle certificaten in de keten te exporteren. Exporteren kan vanuit IIS, maar ook via een Browser.

In de volgende stappen gaan we er van uit dat het pfx bestand was geëxporteerd naar een map cert op de C: schijf van het werkstation.

Open een Windows command prompt en start OpenSSL. Type het volgende commando om het geëxporteerde pfx bestand om te zetten naar een pem bestand

pkcs12 -in -out -nodes -chain

in ons voorbeeld wordt dat dus:

pkcs12 -in c:\cert\test.pfx -out c:\cert\server.pem -nodes -chain

Open het hierboven gemaakte pem bestand met bijvoorbeeld Notepad++. De Private key en de informatie van uw wildcard certificaat zouden zichtbaar moeten zijn, en indien van toepassing  de informatie van het intermediair en root certificaat van uw CA.

Als alleen de private key en eigen wild card informatie beschikbaar is zullen de intermediair en root certificaat informatie geëxporteerd  moeten worden uit de pfx bestanden door middel van certmgr.msc in de volgende stappen, of deze informatie moet beschikbaar zijn van de certificaat aanbieder.

Open certmgr.msc en importeer het .pfx bestand.

Als voorbeeld hebben wij de informatie van onze eerdere publicatie gebruikt:

In dit voorbeeld heeft een klant 1 bestand met de extensie pfx.
Start Internet Explorer, klik op Extra > Internet opties > Inhoud.

certsrv_ie01

Klik op de knop Certificaten.

certsrv_ie02

In het venster Certificaten klik je op Importeren.

certsrv_ie03

Klik op volgende en selecteer Bladeren.

certsrv_ie04

Blader naar de map waar de SSL certificaten staan. Verander eventueel bij Bestandstypen de juiste extensie.
In ons geval hebben we de klantnaam even aangepast naar wildcard.demo.pfx, dit zal normaal iets zijn als *.uwbedrijfsnaam.pfx.

certsrv_ie05

Open het bestand.

certsrv_ie06

Klik op volgende.

certsrv_ie07

Geeft het wachtwoord op dat bij de sleutel hoort en zet eventueel een vinkje bij “Deze sleutel als exporteerbaar aanmerken.” en klik op volgende.

certsrv_ie08

Klik op volgende of pas eerst de archief locatie aan indien deze niet goed staat.

certsrv_ie09

Controleer de inhoud en klik op Voltooien.
Als het goed is komt er een melding dat het importeren voltooid is. Klik daar op OK.

certsrv_ie10

Als het goed is zal in het venster Persoonlijk uw certificaat staan. In ons geval is de klantnaam doorgestreept.

certsrv_ie11

Wanneer de import gelukt is kan er gekozen worden voor Persoonlijk -> Certificaten en klik vervolgens op het geïmporteerde wildcard certificaat.

Klik op het Certificaat tabblad.

Selecteer het intermediair certificaat en klik details.

Klik in het nieuwe venster op details en selecteer kopieer naar bestand.

Exporteer het intermediair certificaat als een Base-64 encoded X.509 cer bestand.

Als er meerdere intermediair certificaten zijn dan dienen deze ook op de zelfde manier geexporteert te worden.

Selecteer het certificaat opnieuw en exporteer het root certificaat naar een Base-64 cer bestand.

Open het geexporteerde intermediair en root certificaat bestand met een tekstverwerker als Notepad++

Open ook met Notepad++ de private key en certificaat informatie van het wild card certificaat uit het pem bestand.

kopieer achter de tekst van het pem bestand de tekst van het intermediair certificaat/certificaten en als laatste de tekst van van het root certificaat, en sla de gecombineerde tekst op als server.txt

Nu kan de informatie in server.txt gecontroleerd worden door het programma kyrtool.
Het programma zal rapporteren of de informatie over de certificaten correct is en in de juiste volgorde staat.

Open een command prompt (cmd) en navigeer naar het pad waar kyrtool.exe staat en gebruik het kyrtool verify commando op de volgende manier:

kyrtool verify c:\cert\server.txt

Verzeker je er van dat er geen foutmeldingen gemeld worden en dat de laatste regel aangeeft dat het certificaat self signed is (alle root certificaten, zelfs afkomstig van CA’s are self signed)

Als er geen fouten zijn geconstateerd kan er een nieuw key ring bestand gemaakt worden door kyrtool create -k -p commando, bijvoorbeeld: e,g

kyrtool create -k c:\cert\keyring.kyr -p aneasypassword

Dit commando genereert ook het stash bestand voor de keyring, wat noodzakelijk is voor Domino. Het bestand heeft de zelfde naam als het key ring bestand, maar heeft een .sth extentie.

Als deze stap zonder foutmeldingen is uitgevoerd kan de kyrtool gebruikt worden om de gegevens uit het server.txt bestand te importeren in het key ring bestand.
gebruik hiervoor het commando kyrtool import all -k -i, bijvoorbeeld:

kyrtool import all -k c:\cert\keyring.kyr -i c:\cert\server.txt

Als deze stap correct is uitgevoerd kan er van de bestaande key ring bestanden van de server (.kyr and .sth) een reserve kopie gemaakt worden zodat in het geval van een fout de huidige bestanden terug gezet kunnen worden.

Om zeker te zijn dat Domino de sleutels kan lezen kunnen we deze nogmaals openen in IBM Notes met de “Server Certificate Admin” applicatie. Deze stap is optioneel natuurlijk.

Klik daarvoor in link in het menu op “View & Edit Key Rings”
Kies boven in het menu voor de knop “Select Key Ring to Display”

Type het volledige pad in naar het sleutelringbestand dat we in de eerdere stappen hebben gemaakt en aangepast.
Geef het wachtwoord in en klik OK.
Als alles goed is gegaan zien we nu bij Site Certificates een KeyPair en ons persoonlijke certificaat.
Bij Certificate Authorities moeten het root- en intermediate certificaten staan die we eerder hebben geïmporteerd.

certsrv_ie17
Als dit klopt kunnen we het *.kyr en bijbehorend *.sth bestand kopiëren naar de data map van de Domino Server.

In de configuratie van de Domino server dient de naam van het sleutelbestand natuurlijk overeen te komen met de bestandsnaam.

Herstart de HTTP taak en als het goed is heb je een werkend SSL certificaat. Controleer dit eventueel door op de Domino console het commando “Tell HTTP show security” in te geven.

Als alles zonder fouten is gelukt kunnen de tijdelijke bestanden van op het lokale werkstation verwijderd worden (om eventueel misbruik te voorkomen).

Mocht je er ondanks deze instructies niet uitkomen kun je altijd contact met ons opnemen. Of plaats je reactie onder dit bericht.

SSLException: Could not generate DH keypair

Posted on by

Bij een klant had ik een Domino agent gemaakt met behulp van Java om gegevens uit te wisselen tussen Domino en AccountView via https.

Om dit goed te laten werken was Domino voorzien van de laatste JVM patches.

Afgelopen week had de beheerder echter de server waarmee de agent verbinding maakte voorzien van een nieuw wildcard SSL certificaat met een hogere versleuteling.
Hierna gaf de Java agent op de Domino server de volgende fout: javax.net.ssl.SSLException: java.lang.RuntimeException: Could not generate DH keypair.

Policy bestanden

Keypair (copyright INECO)

Na wat zoeken op internet vond ik een artikel op de site van IBM waarbij gemeld werd dat de standaard JVM in Notes en Domino een restrictie hebben.

Op de site van IBM kunnen tevens twee policy bestanden, local_policy.jar en US_export_policy.jar worden gedownload waar die restricties niet op zitten.

Helaas bleek deze oplossing niet te werken bij de klant.

 

Bouncy Castle

De aanwezige software engineer had hiervoor echter wel een oplossing die ook voor Domino bleek te werken:

Op de site https://www.bouncycastle.org/ hebben we het bestand bcprov-ext-jdk15on-153.jar gedownload. (De Bouncy Castle Crypto package is een Java-implementatie van cryptografische algoritmes)

Vervolgens heb ik dit bestand in de map c:\IBM\Domino\JVM\lib\ext geplaatst.

In de map c:\IBM\Domino\JVM\lib\security het bestand java.security  aangepast:
security.provider.1=com.ibm.jsse2.IBMJSSEProvider2 veranderd in security.provider.10=com.ibm.jsse2.IBMJSSEProvider2.

Vervolgens de regel security.provider.1=org.bouncycastle.jce.provider.BouncyCastleProvider toegevoegd en het bestand opgeslagen.

Na het herstarten van de Domino server werkte de agent weer.

Fijn Harry (G), bedankt…

 

SSL (HTTPS) standaard voor www.ineco.nl

Posted on by

Vanaf vandaag hebben wij onze website ook omgezet van http naar https (ssl).
Steeds meer wordt deze veilige verbinding de standaard, vandaar dat wij ook niet achter willen blijven.

SSL

Met SSL wordt je (vertrouwelijke) informatie die tussen browser en server verzonden wordt versleuteld, zodat je gegevens niet onderschept kunnen worden.

Beveiligingslek in SSL 3.0 – ook van toepassing voor IBM Domino

Posted on by

Afgelopen week was het weer raak: diverse beveiliging sites waarschuwen voor een probleem met SSL (HTTPS verkeer).
Zie bijvoorbeeld: www.security.nl
Met POODLE (Padding Oracle On Downgraded Legacy Encryption) is een aanval via een SSL versie 3 verbinding mogelijk.

SSL 3.0

SSL 3.0 blijkt een forse fout te bevatten waardoor hackers toegang kunnen krijgen tot versleutelde informatie.
Doordat het verouderde SSL 3.0 protocol ook in de nieuwe standaard, TLS, nog steeds beschikbaar is als terugval-optie, is de ‘Poodle’ bug ook voor nieuwe systemen een aanmerkelijk risico.

Diverse software leveranciers zijn druk bezig met een oplossing voor dit probleem.
Tot er een oplossing is wordt aanbevolen SSL2 en SSL3 uit te zetten op uw webserver en gebruik te maken van het veiligere TLS.
Voor webservers als Apache is dit geen probleem, op internet zijn diverse manieren te vinden die dit helemaal uitleggen.
Echter voor Domino servers met de standaard HTTP taak, is dit geen optie.

De laatste versie van Domino, 9x Social Edition heeft ook de mogelijkheid om IBM HTTP Server als alternatieve webserver te gebruiken.
Dit is al een hele verbetering omdat de IBM HTTP Server, gebaseerd op Apache, wel de veiligere verbindingen ondersteund.
Met een paar aanpassingen (dezelfde als bij Apache) kan SSLv3 uitgeschakeld worden.
Het installeren van IBM HTTP Server is een optie in het installatie programma van Domino 9. Zie ook http://www.ibm.com/support/docview.wss?uid=swg27039743
Toch zijn ook met deze opzet diverse (andere) problemen gemeld op internet.
IBM zelf heeft nog geen officiële reactie gegeven op dit probleem. Zie ook: www-10.lotus.com/ldd/ndseforum.nsf

Apache reverse proxy

Op dit moment lijkt het de meest betrouwbare oplossing om een Apache webserver te installeren die als reverse proxy wordt ingesteld om alle verzoeken door te sturen naar Domino.
Dit kan, mits de server voldoende capaciteit heeft, op de zelfde machine geïnstalleerd worden zodat er geen extra hardware nodig is.
De veilige SSL verbinding wordt dan tot stand gebracht met de Apache webserver die op zijn beurt intern een normale verbinding via HTTP met Domino maakt.
Het voordeel is dat problemen met Apache veel sneller opgelost worden door de Open Source gemeenschap.
Ten opzichte van de Domino HTTP server is certificaat beheer in IBM HTTP Server en Apache ook veel eenvoudiger.

Microsoft IIS

Voor Windows beheerders die liever met Microsoft IIS werken, natuurlijk is dat ook mogelijk in combinatie met IBM Domino.
Op de site van Microsoft is ook informatie te vinden SSLv3 (en overige protocollen) uit te schakelen: http://support.microsoft.com/kb/187498/en-us

Om te controleren of uw webserver kwetsbaar is zijn er diverse testen op internet te vinden, onder andere op:

www.ssllabs.com
ssltools.websecurity.symantec.com

Vanzelfsprekend kunnen wij u helpen met het testen, adviseren en zo nodig het oplossen van dit probleem!

Update 23 oktober 2014

IBM heeft ook een Technote geplaatst over dit onderwerp:
http://www.ibm.com/support/docview.wss?uid=swg21687167

Zie ook:
http://www.ibm.com/support/docview.wss?uid=swg21418982

 

SSL certificaat omzetten naar Domino kyr bestand

Posted on by

Het wil nog wel eens voorkomen dat je een bestaand SSL certificaat hebt en deze wil gaan gebruiken op je Domino HTTP Server. Een eenvoudige oplossing is natuurlijk om voor de Domino server een Apache of IIS webserver te installeren en SSL verzoeken via een proxy regel door te sturen naar Domino zonder SSL, dan is de hele oefening om een certificaat in Domino te krijgen helemaal niet nodig. Alleen kan deze oplossing niet overal gebruikt worden, of wil men deze niet gebruiken.

Dan zit er niets anders op dan of via de Domino Certificate Admin applicatie een nieuw certificaat aan te vragen bij een provider (vaak gratis binnen een bepaalde periode), of om een bestaand certificaat om te zetten.

Het aanvragen van een certificaat via de Notes applicatie is een standaard procedure die goed beschreven staat in de Administrator Help, en vaak ook bij de leveranciers van SSL certificaten, het omzetten van een Apache of IIS certificaat of importen van een wilcard certificaat is echter niet beschreven en is net iets lastiger.

Er zijn verschillende methodes waarvan ik er hier een beschrijf.

(Deze methode is met de komst van IBM Notes 9.0.1FP2 en de nieuwe kyrtool wat verouderd, lees hier over de nieuwe methode.)

Stap 1.

Open de Server Certificate Administration applicatie (certsrv.nsf), of maak deze aan met gebruik van het certsrv.ntf sjabloon.

Klik vervolgens op Create Key Ring.

certsrv_01

Vul in het “Create Key Ring” scherm alle velden in zodat deze overeen komen met het certificaat dat je wil gaan gebruiken.
Klik vervolgens op de knop “Create Key Ring” onderaan de pagina.
certsrv_02

Als alles goed gegaan is komt er een dialoog met het resultaat.
certsrv_03

Klik OK en kijk vervolgens of het sleutel paar in de opgegeven map staat.
certsrv_04

Tot zo ver is het nog allemaal standaard.
Nu gaan we echter geen “Certificate Request” indienen, want dat hebben we al….
We verlaten Notes nu even.

Stap 2.

Om in stap 3 de certificaten (het persoonlijk certificaat, het root- en eventuele intermediate certificaten goed te kunnen importeren moeten we precies weten wat de namen van de certificaten zijn. Als er geen duidelijke beschrijving mee geleverd is kunnen we de certificaten het beste openen in een internet browser zoals Internet Explorer. In het voorbeeld een oudere versie in XP (VM).

Er zijn verschillende manier van certificaat uitgifte, de ene leverancier stuurt losse bestanden, de andere slechts een bestand waar de overige certificaten in zitten (de hele reeks of chain).
In dit voorbeeld heeft een klant 1 bestand met de extensie pfx.
Start Internet Explorer, klik op Extra > Internet opties > Inhoud.

certsrv_ie01

Klik op de knop Certificaten.

certsrv_ie02

In het venster Certificaten klik je op Importeren.

certsrv_ie03

Klik op volgende en selecteer Bladeren.

certsrv_ie04

Blader naar de map waar de SSL certificaten staan. Verander eventueel bij Bestandstypen de juiste extensie.
In ons geval hebben we de klantnaam even aangepast naar wildcard.demo.pfx, dit zal normaal iets zijn als *.uwbedrijfsnaam.pfx.

certsrv_ie05

Open het bestand.

certsrv_ie06

Klik op volgende.

certsrv_ie07

Geeft het wachtwoord op dat bij de sleutel hoort en zet eventueel een vinkje bij “Deze sleutel als exporteerbaar aanmerken.” en klik op volgende.

certsrv_ie08

Klik op volgende of pas eerst de archief locatie aan indien deze niet goed staat.

certsrv_ie09

Controleer de inhoud en klik op Voltooien.
Als het goed is komt er een melding dat het importeren voltooid is. Klik daar op OK.

certsrv_ie10

Als het goed is zal in het venster Persoonlijk uw certificaat staan. In ons geval is de klantnaam doorgestreept.

certsrv_ie11

Mocht je nu niet een bestand hebben maar losse bestanden dan kan elk bestand geïmporteerd worden. Vaak hebben de root en intermediate certificaten geen wachtwoord, maar de routine is bijna gelijk aan de hier beschreven procedure.

Nu de certificaten in de browser zichtbaar zijn kunnen we kijken hoe de keten er uit ziet en de namen van de labels noteren.

Klik op Weergeven.

certsrv_ie12

In het Certificaat venster klik je op Certificeringspad. Daar kun je zien dat er naast het root certificaat nog een intermediate certificaat aanwezig is. Ook is zichtbaar dat wij het root certificaat nog moeten importeren, maar dat is voor nu niet belangrijk.

Klik op het bovenste certificaat pad en klik op de knop “Certificaat weergeven”.

certsrv_ie13

Noteer de naam achter het label “Verleend aan:”, in dit geval “AddTrust External CA Root” en klik op OK.

Doe dit voor de overige certificeringspaden ook tot aan de laatste regel. In ons geval komt er dus nog een naam bij, “PositiveSSL CA 2”

Deze gegevens hebben wij nodig om bij stap 3 in te vullen.

Mocht het nodig zijn dan kan er vanuit het certificaten venster ook een export gemaakt worden van de certificaten. In ons geval is dit niet nodig dus slaan we deze stap over en gaan naar stap 3.

Stap 3.

Om het bestaande certificaat toe te voegen aan het kyr bestand gebruiken we het programma ikeyman van IBM, o.a. te vinden op ftp://ftp.software.ibm.com/software/lotus/tools/Domino/gsk5-ikeyman.zip.
Dit programma werkt het meest eenvoudig op een 32bits Windows XP omgeving, hoewel er op internet ook meldingen zijn van mensen die het aan de praat hebben gekregen met nieuwere versies van Windows met een oude Java omgeving. Voor deze beschrijving heb ik echter een Windows XP machine gemaakt in VMWare Player.
Pak het bestand gsk5-ikeyman.zip uit.
Open vervolgens een commando prompt (dos venster).
Navigeer op de prompt naar de map waar je de ikeyman bestanden hebt uitgepakt.
In de map staan twee batch bestanden. De eerste is om de paden aan de omgevings-variabelen van Windows toe te voegen.
Type hiervoor de opdracht “gskregmod.bat Add” (zonder aanhalingstekens in) en enter.

certsrv_05

Type vervolgens “runikeyman.bat” om IBM Sleutelbeheer te starten.

certsrv_06

Als het goed is start IBM sleutelbeheer op:

certsrv_07

Kies in het menu voor sleuteldatabase openen en navigeer naar het *.key bestand dat je hebt aangemaakt in stap 1.

certsrv_08

Type het wachtwoord dat in stap 1 is ingevoerd voor het Sleutelring bestand.

Klik in het hoofdvenster onder het kopje Inhoud sleuteldatabase op het keuzeveld en kies “Certificaten van certificaatgever”.

certsrv_09

Je ziet in het venster de certificaten die in het kyr bestand staan dat we hebben aangemaakt in stap 1.
Waarschijnlijk staan de certificaten die we in stap 2 genoteerd hebben hier niet bij, en zullen we deze nu moeten toevoegen. Klik daarvoor op de “Toevoegen” knop.

certsrv_10

Kies in het toevoegen venster op het juiste gegevenstype, in ons geval hebben wij *.CER bestanden van de leverancier gekregen en kiezen we voor “Binaire DER-gegevens”. Blader naar de locatie van de certificaten en klik op OK. In ons voorbeeld importeren we het root certificaat van AddTrust.

In het volgende venster hebben we dan de naam nodig die wij in stap 2 genoteerd hebben. Het is belangrijk om dit exact over te nemen.

certsrv_11

Klik op OK.
Doe het zelfde voor de eventuele intermediate certificaten.
Het resultaat is zichtbaar in het venster van IBM Sleutelbeheer:

certsrv_12

Als laatste moeten wij nog het persoonlijke certificaat toevoegen. Klik daarvoor in IBM Sleutelbeheer op het meerkeuzevak onder Inhoud sleuteldatabase op “Persoonlijke certificaten” en klik op de knop “Importeren”.
Navigeer in het “Sleutel importeren” dialoog venster naar het persoonlijke certificaat. In ons geval was het certificaat niet zichtbaar in het bladervenster omdat bij bestandsnaam *.p12 stond. Dit is echter weg te halen zodat wel alle bestanden zichtbaar worden en wij het “wildcard.demo.nl.pfx” sleutelbestand kunnen kiezen.

certsrv_13

Klik op OK. Ook hier wordt weer gevraagd om het wachtwoord van de sleutel. Vul dit in en klik op OK.
Wanneer alles goed is gegaan ze je in het venster het certificaat dat net is ingevoerd.

certsrv_ie15

Sla het sleutelbestand op als Sleutelringbestand (*.kyr), overschrijf daarbij het eerder aangemaakt sleutelbestand. Er wordt gevraagd een wachtwoord in te voeren, en eventueel kan de geldigheidstermijn daarvan ingesteld worden.
certsrv_ie16

Klik OK, deze stap is daarmee afgerond.

Stap 4.

Wij hebben in de voorgaande stappen een sleutelpaar aangemaakt, en de certificaten toegevoegd. Om zeker te zijn dat Domino de sleutels kan lezen kunnen we deze nogmaals openen in IBM Notes met de “Server Certificate Admin”.

Klik daarvoor in link in het menu op “View & Edit Key Rings”
Kies boven in het menu voor de knop “Select Key Ring to Display”

Type het volledige pad in naar het sleutelringbestand dat we in de eerdere stappen hebben gemaakt en aangepast.
Geef het wachtwoord in en klik OK.
Als alles goed is gegaan zien we nu bij Site Certificates een KeyPair en ons persoonlijke certificaat.
Bij Certificate Authorities moeten het root- en intermediate certificaten staan die we eerder hebben geïmporteerd.

certsrv_ie17
Als dit klopt kunnen we het *.kyr en bijbehorend *.sth bestand kopiëren naar de data map van de Domino Server.

In de configuratie van de Domino server dient de naam van het sleutelbestand natuurlijk overeen te komen met de bestandsnaam, maar als je al zo ver bent gekomen zal dat geen probleem mogen opleveren.

Herstart de HTTP taak en als het goed is heb je een werkend SSL certificaat. Controleer dit eventueel door op de Domino console het commando “Tell HTTP show security” in te geven.

Mocht je er ondanks deze instructies niet uitkomen kun je altijd contact met ons opnemen. Of plaats je reactie onder dit bericht.

Overige bronnen:
https://www.sslcertificaten.nl/
http://www.ibm.com/