Bonjour,
Je viens de mettre en place le web mail en HTTPS avec SSL. Actuellement nous utilisons un certificat auto-certifié. Cela entraine un problème de certificat invalide quand on accède à Domino depuis l'extérieur.
Nous possédons un certificat authentifié par la société Thawte pour tous les sous domaines du domaine que nous possédons le fichier que Thawthe nous a envoyé est un fichier avec l'extension .cer nommé nomdedomaine.cer. Ce fichier nous sert pour certifié les sites web que nous possédons.
J'ai essayé d'installé ce certificat dans lotus en faisant la manipulation suivante :
- Via IBM Domino Administrator j'ouvre le document de configuration de mon serveur.
- Dans cette fenêtre onglet port... sous onglet port internet...
Je modifie le paramètre : Fichier de clé SSL je rentre la valeur nomdedomaine.cer
Je re-démarre ensuite mon serveur domino et cela ne fonctionne pas.
Est-ce que la manipulation que je fais est correcte ?
Un serveur domino accepte-il les certificats avec l'extension .cer ou il n'accepte que les certificats avec l'extention .kyr ?
Certificat SSL pour le WebMail SSL
8 messages
• Page 1 sur 1
Certificat SSL pour le WebMail SSL
par molbento » 21 Juil 2010 à 09:37
-
molbento - Posteur habitué
- Message(s) : 212
- Inscrit(e) le : 20 Jan 2009 à 20:15
par Philippe Horlaville » 24 Sep 2010 à 14:51
C'est un certificat wildcard (*.mondomaine.fr) ?
Si oui, c'est pas simple, j'ai fini par y arriver.
Principe global :
-1- Intégrer le certificat racine Thawte au fichier jeu de clé du serveur Domino (fichier.kyr)
=> A n'effectuer qu'une fois, à l'installation du serveur, ou si le serveur n'a pas encore de certificat Thawte
http://www.thawte.com/roots/
-2- Convertir au format p12 la clé privée et le certificat fournis par Thawte
=> A n'effectuer qu'une fois lors du renouvellement du certificat : le fichier p12 créé servira pour tous les serveurs Domino
En SSH avec openssl :
sudo openssl pkcs12 -export -out nomfichier.p12 -inkey cleprivee.priv -in certificat.cert
Où : nomfichier.p12 est le nom du fichier à générer
-3- Intégrer le fichier le fichier généré en -2- dans le fichier.kyr du serveur Domino
=> A effectuer pour chaque serveur Domino à l'aide du fichier p12 créé en -2-
A l'aide de l'utilitaire IBM key manager
Si oui, c'est pas simple, j'ai fini par y arriver.
Principe global :
-1- Intégrer le certificat racine Thawte au fichier jeu de clé du serveur Domino (fichier.kyr)
=> A n'effectuer qu'une fois, à l'installation du serveur, ou si le serveur n'a pas encore de certificat Thawte
http://www.thawte.com/roots/
-2- Convertir au format p12 la clé privée et le certificat fournis par Thawte
=> A n'effectuer qu'une fois lors du renouvellement du certificat : le fichier p12 créé servira pour tous les serveurs Domino
En SSH avec openssl :
sudo openssl pkcs12 -export -out nomfichier.p12 -inkey cleprivee.priv -in certificat.cert
Où : nomfichier.p12 est le nom du fichier à générer
-3- Intégrer le fichier le fichier généré en -2- dans le fichier.kyr du serveur Domino
=> A effectuer pour chaque serveur Domino à l'aide du fichier p12 créé en -2-
A l'aide de l'utilitaire IBM key manager
- Philippe Horlaville
- Posteur néophyte
- Message(s) : 56
- Inscrit(e) le : 12 Sep 2007 à 12:32
- Localisation : Nanterre
par molbento » 29 Sep 2010 à 09:02
Merci de ta réponse Philippe mais je possède déjà un certificat authentifié. Je voudrais savoir comment convertir le fichier .CER envoyé par l'organisme de certification en .KYR pour que Domino accepte le certificat.
La méthode que tu me conseille permet de créer le certificat privé avant l'envoie à l'organisme de certification.
Quelqu'un a-t-il une autre idée ?
La méthode que tu me conseille permet de créer le certificat privé avant l'envoie à l'organisme de certification.
Quelqu'un a-t-il une autre idée ?
-
molbento - Posteur habitué
- Message(s) : 212
- Inscrit(e) le : 20 Jan 2009 à 20:15
par Philippe Horlaville » 04 Oct 2010 à 15:08
La méthode que je te décris permet d'intégrer un certificat au fichier jeu de clé (fichier .kyr) domino, via l'utilitaire d'IBM Key Manager :
J'avais la même problématique que toi : nous avons acheté chez Thawte un certificat wildcard (*.mondomaine.fr) qu'il a fallu intégrer aux jeux de clés des serveurs web domino
J'avais la même problématique que toi : nous avons acheté chez Thawte un certificat wildcard (*.mondomaine.fr) qu'il a fallu intégrer aux jeux de clés des serveurs web domino
- Philippe Horlaville
- Posteur néophyte
- Message(s) : 56
- Inscrit(e) le : 12 Sep 2007 à 12:32
- Localisation : Nanterre
par molbento » 14 Oct 2010 à 14:08
J'avais mal lu ton précédent post. c'est exactement ce que je veux faire.
Peux-tu être plus précis dans les commandes a exécuter :
1 - Comment fais tu pour intégrer le certificat racine Thawte au fichier jeu de clé du serveur Domino
3 - Comment fais tu pour Intégrer le fichier le fichier généré en -2- dans le fichier.kyr du serveur Domino
Quelle commande utilises-tu ?
Peux-tu être plus précis dans les commandes a exécuter :
1 - Comment fais tu pour intégrer le certificat racine Thawte au fichier jeu de clé du serveur Domino
3 - Comment fais tu pour Intégrer le fichier le fichier généré en -2- dans le fichier.kyr du serveur Domino
Quelle commande utilises-tu ?
-
molbento - Posteur habitué
- Message(s) : 212
- Inscrit(e) le : 20 Jan 2009 à 20:15
par Philippe Horlaville » 28 Oct 2010 à 12:30
Désolé pour ma réponse tardive
Nota : J'ai effectué cette manip il y a 2 ans, peut-être les outils ont-ils évolué depuis...
En bref :
1.Pour intégrer le certificat Thawte
En cas de nouveau serveur, il faut générer le jeu de clé (fichier.kyr)
- Ouvrir la base sur le serveur certsrv.nsf
- Si non présente, la créer à partir du modèle csrv50.ntf
- Générer le fichier kyr depuis la base certsrv :
Create Key Rings & Certificates
1. Create Key Ring
Tu spécifies le nom de fichier kyr, le mot de passe, les infos sur le site :
Common name : tonserveur.tondomaine.fr
Organization : tasociete
...
Tu valides, il t'indique que ta clé est créée.
- Tu récupères le certificat racine de Thawte :
https://www.verisign.com/support/thawte-roots.zip
-Tu intègres le certificat racine dans ton jeu de clé :
Dans certsrv.nsf :
3. Install Trusted Root Certificate into Key Ring
Key ring file name : le chemin et le nom de ton fichier jeu de clé créé en 1 (tu peux le copier en local et le recopier ensuite).
Certificate label : le nom qui apparaîtra pour ce certificat (ex : ThawtePremiumServerCA)
Certificate source : File
File name :
[toncheminextractionzip]\thawte-roots\Thawte Root Certificates\thawte Premium Server CA\Thawte Premium Server CA.cer
File format : Binary file format
Clic sur "Merge..."
Entrer le mot de passe de ton fichier kyr
Il te répond que le root certif a été "merged"
2.Conversion au format p12 la clé privée et le certificat fourni par Thawte
Principe :
Copier les fichiers fournis par Thawte sur une machine linux (l'utilitaire de conversion openssl est dispo sur linux)
Convertir les fichiers au format pks12
Récupérer le fichier p12 créé et l'intégrer au fichier kyr.
Sur un poste en XP (compatibilité avec l'utilitaire IBM key manager, ils en ont peut-être sorti des versions plus récentes...)
Récupérer l'utilitaire pspc.exe (google est notre ami) : il permet la copie de fichier sur une plateforme linux.(je le posterai si tu ne le trouves pas)
Récupérer l'utilitaire IBM Key Manager : gsk5-ikeyman.zip (je le posterai si tu ne le trouves pas)
Tu auras au préalable copié et dézippé dans un rep temporaire (ex : c:\temp) les fichiers et les fichiers fournis par Thawte (fichierthawte.cert & fichierthawte.priv)
Copie vers le poste linux en ligne de commande depuis le poste xp :
c:\temp\pspc fichierthawte.* login@machinelinux:/repsurmachinelinux
Il te demande le mot de passe correspondant au login
La copie s'effectue
Avec un putty.exe, se connecter à la machine linux (port 22)
Se placer dans le repsurmachinelinux
taper la commande suivante pour la conversion :
sudo openssl pkcs12 -export -out nomfichier.p12 -inkey fichierthawte.priv -in fichierthawte.cert
Il te demande de définir un mot de passe (servira ensuite)
depuis ta ligne de commande sur ton poste xp, récupérer le fichier p12 :
c:\temp\pspc login@machinelinux:/repsurmachinelinux/*.p12
Taper le mot de passe : le fichier p12 est copié sur la machine xp
3. Intégrer le fichier p12 au fichier kyr du serveur domino
Copier le fichier kyr du serveur dans le répertoire de la machine xp (c:\temp)
- Installer l'outil IBM Key Manager dans le rep (c:\temp)
- L'enregistrer dans la base de registre à l'aide de la commande (respecter la casse) :
En ligne de commande : "gskregmod.bat Add"
- Lancer ikeyman en ligne de commande : runikeyman.bat
- Ouvrir le fichier kyr (mot de passe demandé)
- Sélectionner "Certificats personnels" dans la liste et cliquer sur "importation"
- Type de fichier de clés : fichier PKS12
- Sélectionner le fichier P12
- Taper le mot de passe créé lors de la fusion avec openssl
- Valider
- Dans la liste des certificats personnels apparaît ton certificat wildcard : *.tondomaine.fr
- Sauvegarer le fichier.kyr modifié (définir un nouveau nom), définir un mot de passe pour ce fichier
- Le recopier sur le serveur (remettre le nom initial si besoin)
- Vérifier la configuration ssl dans le document serveur :
- Doc serveur, onglet ports, ports internet, fichiers de clés SSL : le nom du fichier .kyr
- Etat du port SSL : Activé
- Enregister et sortir
- Redémarrer la tâche http.
Ca devrait le faire !
J'avais prévenu, c'est pas simple.
J'ai des copie d'écran si ça peut t'aider.
Fais moi signe si tu veux que je les poste.
Bon courage.
Nota : J'ai effectué cette manip il y a 2 ans, peut-être les outils ont-ils évolué depuis...
En bref :
1.Pour intégrer le certificat Thawte
En cas de nouveau serveur, il faut générer le jeu de clé (fichier.kyr)
- Ouvrir la base sur le serveur certsrv.nsf
- Si non présente, la créer à partir du modèle csrv50.ntf
- Générer le fichier kyr depuis la base certsrv :
Create Key Rings & Certificates
1. Create Key Ring
Tu spécifies le nom de fichier kyr, le mot de passe, les infos sur le site :
Common name : tonserveur.tondomaine.fr
Organization : tasociete
...
Tu valides, il t'indique que ta clé est créée.
- Tu récupères le certificat racine de Thawte :
https://www.verisign.com/support/thawte-roots.zip
-Tu intègres le certificat racine dans ton jeu de clé :
Dans certsrv.nsf :
3. Install Trusted Root Certificate into Key Ring
Key ring file name : le chemin et le nom de ton fichier jeu de clé créé en 1 (tu peux le copier en local et le recopier ensuite).
Certificate label : le nom qui apparaîtra pour ce certificat (ex : ThawtePremiumServerCA)
Certificate source : File
File name :
[toncheminextractionzip]\thawte-roots\Thawte Root Certificates\thawte Premium Server CA\Thawte Premium Server CA.cer
File format : Binary file format
Clic sur "Merge..."
Entrer le mot de passe de ton fichier kyr
Il te répond que le root certif a été "merged"
2.Conversion au format p12 la clé privée et le certificat fourni par Thawte
Principe :
Copier les fichiers fournis par Thawte sur une machine linux (l'utilitaire de conversion openssl est dispo sur linux)
Convertir les fichiers au format pks12
Récupérer le fichier p12 créé et l'intégrer au fichier kyr.
Sur un poste en XP (compatibilité avec l'utilitaire IBM key manager, ils en ont peut-être sorti des versions plus récentes...)
Récupérer l'utilitaire pspc.exe (google est notre ami) : il permet la copie de fichier sur une plateforme linux.(je le posterai si tu ne le trouves pas)
Récupérer l'utilitaire IBM Key Manager : gsk5-ikeyman.zip (je le posterai si tu ne le trouves pas)
Tu auras au préalable copié et dézippé dans un rep temporaire (ex : c:\temp) les fichiers et les fichiers fournis par Thawte (fichierthawte.cert & fichierthawte.priv)
Copie vers le poste linux en ligne de commande depuis le poste xp :
c:\temp\pspc fichierthawte.* login@machinelinux:/repsurmachinelinux
Il te demande le mot de passe correspondant au login
La copie s'effectue
Avec un putty.exe, se connecter à la machine linux (port 22)
Se placer dans le repsurmachinelinux
taper la commande suivante pour la conversion :
sudo openssl pkcs12 -export -out nomfichier.p12 -inkey fichierthawte.priv -in fichierthawte.cert
Il te demande de définir un mot de passe (servira ensuite)
depuis ta ligne de commande sur ton poste xp, récupérer le fichier p12 :
c:\temp\pspc login@machinelinux:/repsurmachinelinux/*.p12
Taper le mot de passe : le fichier p12 est copié sur la machine xp
3. Intégrer le fichier p12 au fichier kyr du serveur domino
Copier le fichier kyr du serveur dans le répertoire de la machine xp (c:\temp)
- Installer l'outil IBM Key Manager dans le rep (c:\temp)
- L'enregistrer dans la base de registre à l'aide de la commande (respecter la casse) :
En ligne de commande : "gskregmod.bat Add"
- Lancer ikeyman en ligne de commande : runikeyman.bat
- Ouvrir le fichier kyr (mot de passe demandé)
- Sélectionner "Certificats personnels" dans la liste et cliquer sur "importation"
- Type de fichier de clés : fichier PKS12
- Sélectionner le fichier P12
- Taper le mot de passe créé lors de la fusion avec openssl
- Valider
- Dans la liste des certificats personnels apparaît ton certificat wildcard : *.tondomaine.fr
- Sauvegarer le fichier.kyr modifié (définir un nouveau nom), définir un mot de passe pour ce fichier
- Le recopier sur le serveur (remettre le nom initial si besoin)
- Vérifier la configuration ssl dans le document serveur :
- Doc serveur, onglet ports, ports internet, fichiers de clés SSL : le nom du fichier .kyr
- Etat du port SSL : Activé
- Enregister et sortir
- Redémarrer la tâche http.
Ca devrait le faire !
J'avais prévenu, c'est pas simple.
J'ai des copie d'écran si ça peut t'aider.
Fais moi signe si tu veux que je les poste.
Bon courage.
- Philippe Horlaville
- Posteur néophyte
- Message(s) : 56
- Inscrit(e) le : 12 Sep 2007 à 12:32
- Localisation : Nanterre
8 messages
• Page 1 sur 1