Установка сертификата на сервер IBM Domino с поддержкой SHA-2
Штатными средствами создать keyring-файл с поддержкой SHA-2 и поместить в него сертификат нельзя!!! Поэтому понадобятся следующие утилиты:
- KYRTool - взять можно здесь
- OpenSSL - необходим для генерации приватного ключа и запроса сертификата, взять можно здесь
Поддержка SHA-2 в IBM Domino реализована начиная с версии 9.0.1 FP3, так что если версия сервера ниже, то его необходимо обновить.
Приступаем к созданию и настройке keyring-файла. Если используется уже имеющийся сертификат то можно пропустить шаги 1-3 и сразу начинать с шага 4.
Шаг 1. Создаем приватный ключ сервера
Добавляем переменную окружения для OpenSSL, в которой указываем путь до конфигурационного файла.
Пример:
SET OPENSSL_CONF=C:\Program Files\OpenSSL-Win64\bin\openssl.cfg
Генерируем приватный ключ с помощью OpenSSL следующей командой: openssl genrsa -out c:\server.key 4096
Пример:
openssl genrsa -out c:\server.key 4096
Шаг 2. Генерируем файл запроса сертификата.
При помощи OpenSSL создаем запрос на сертификат следующей командой: openssl req -new -sha256 -key c:\server.key -out c:\server.csr
Пример:
openssl req -new -sha256 -key c:\server.key -out c:\server.csr
Вам будет предложено заполнить
--
Country Name (2 letter code) [XX]: RU
State or Province Name (full name) []: Central
Locality Name (eg, city) [Default City]: Moscow
Organization Name (eg, company) [Default Company Ltd]: Company Ltd
Organizational Unit Name (eg, section) []: IT
Common Name (eg, your name or your server’s hostname) []: company.com
Email Address []:Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Шаг 3. Отправляем запрос центру сертификации и получаем сертификат.
В случае необходимости, полученный sitecert.cer файл надо пересохранить в sitecert.crt в кодировке Base-64. Для этого:
- Открыть сертификат
- Закладка «Состав» - кнопка «Копировать в файл...»
- С помощью мастера экспорта сертификатов пересохранить в кодировке Base-64.
Скачиваем KYRTool и помещаем его в папку с установленным клиентом Notes, в которой у нас хранятся DLL-библиотеки клиента.
Создаём keyring-файл следующей командой: kyrtool =»c:\Program Files\IBM\Notes\notes.ini» create -k c:\keyring.kyr -p password
Пример:
kyrtool =c:\lotus\notes\notes.ini create -k c:\keyring.kyr -p password
Шаг 5. Импортируем приватный ключ, сертификат доверенного центра, промежуточные сертификаты и сертификат сервера.
- Импортируем приватный ключ сервера командой: kyrtool import keys -i C:\server.key -k C:\keyring.kyr
- Импортируем сертификат сервера: kyrtool import certs -i C:\sitecert.crt -k C:\keyring.kyr
Проверить созданный файл можно следующими командами:
kyrtool =c:\lotus\notes\notes.ini show keys -k c:\keyring.kyr
kyrtool =c:\lotus\notes\notes.ini show certs -k c:\keyring.kyr
Дальше поступаем как и с ключами SHA-1, помещаем keyring.kyr и keyring.sth в папку Data на сервере. Перезапускаем http-сервер.
На основе статьи (шаги немного скорректированы):
Установка сертификата на сервер IBM Domino с поддержкой SHA-2
Штатными средствами создать keyring-файл с поддержкой SHA-2 и поместить в него сертификат нельзя!!! Поэтому понадобятся следующие утилиты: KYRTool - взять можно здесь OpenSSL - необходи
igoldobin.wordpress.com