Månadens Expert-tips – Enkel guide till SSL i Domino

Månadens Expert-tips – Enkel guide till SSL i Domino

Det här är en enkel guide för installation av SLL i Domino med en intern
eller extern certificate authority (CA) såsom Verisign eller Thawte.
Lotus hjälpfiler ger viss vägledning, men den här guiden är enklare!

Guiden förutsätter att databasen “Lotus Domino Server Certificate Admin” används.
1. Kontrollera att Domino har en databas som är skapad med mallen “StdNotes50SSLAdmin.ntf”.
Titeln på mallen är vanligtvis “Server Certificate Admin” och databasen brukar heta “certsrv.nsf”.

Om databasen “certsrv.nsf” redan finns så gå vidare till steg 2, annars läs vidare.

Skapa en ny databas på servern från mallen “Server Certificate Admin” (“StdNotes50SSLAdmin.nsf”).
För att kunna välja mallen, se till att visa samtliga mallar genom att kryssa i “Show advanced templates”

2. Öppna databasen (sker automatiskt om hela steg ett utförts).
Välj första steget “Create Key Ring”.

Nyckelringen (key ring) behövs för att skapa en “Certificate Signing Request” (CSR) från en tredje part såsom Verisign/Thawte.
Definiera information om din “key ring”.
OBS! “Common Name” MÅSTE överensstämma med webbsidans namn som den presenteras i användrens
webb-läsare, annars kommer användaren få en varning innan krypterade sidor visas.

3. Den skapade nyckelringen (“key ring”) lagras i en fil med namnet “keyfile.kyr”. Om du döper om filen, behåll filändelsen “.kyr”!
Verisign föredrar en “key size” som är 1024. Använd inte en svagare nyckel än 1024-bitar.

Ju mer information du matar in under sektionen “Distinguished Name”, desto bättre.
The Organizational Unit is likely the only section most of you won’t complete, but be sure to fill in as necessary.
När fälten är ifyllda, klicka på “Create Key Ring”.
Filer med ändelserna “.kyr” och “.sth” kommer att skapas. Applikationen kommer visa var filerna lagrats.

Anmärkning: “.kyr”-filen är en “Key Ring”-fil. Filen “.sth” är en “stash file” som innehåller lösenordsinformation.
OBS! Säkerställ att båda dessa filer är väl skyddade från åtkomst av obehöriga!
Filen “.sth” (“stash file”) är skyddad, men inte krypterad!

4. Skapa en förfrågan (“request”) för den CA du avser använda.
Klicka på on “Create Certificate Request” i databasen.

5. Sökvägen i första fältet pekar ut “.kyr”-filen vi precis skapade. Om du använder Verisign måste du välja “Paste into form on CA’s site”.
Om du väljer “email” kommer du få fylla i ytterliggare information.
I annat fall, klicka på knappen “Create Certificate Request” för att generera serverns “request information”.

6. Ange ett lösenord för “.kyr”-filen.
Bara de övre fälten kommer att vara ifyllda med den informationen du angav tidigare.

Markera allt i det undre fältet och kopiera det till klippbordet (Ctrl+C).
Se till att ALL text markeras, även raderna “Begin Certificate” och “End Certificate”.
Nu är det dags att gå till din CAs (Verisign/Thawte) webbsida och följa deras instruktioner för att posta en förfrågan för ett nytt certifikat (“submit request for a new certificate”).

7. Sammanfoga (“merge”) certifikatet från din CA med serverns egen s kapade certifikat.
Din tidigare förfrågan till din CA skall ha genererat ett server-certifikat.
Nästa steg är att sammanfoga din CAs “trusted root certificate” med d en nyckelring “Key Ring” vi skapade tidigare.
Sök på din CAs hemsida efter certifikatet som behövs, det är vanligtvis tillgängligt som en bilaga eller som text som kan kopi eras till klippbodert (Ctrl+C).

Anmärkning: För Verisign behövs deras “Intermediate Certificate Authority root” i SLL-certifikat installationen.

När du har nödvändigt “root certificate” från din CA, gå tillbaka till databasen “Server Certificate Admin” och välj “Install Trusted Root Certificate into Key Ring”.

8. Klicka på “Install Trusted Root Certificate into Key Ring”.

Det första fältet är en sökväg till nyckelringen “Key Ring file” som skapades tidigare.
“Certificate Label” är en text som identifierar certifikatet i applikationen.
Om fältet lämnas tomt så skall applikationen automatiskt fylla i certifikatets “distinguished name”.

Källan “Certificate Source” beror på hur din CA tillhandahåller “Trusted Root Certificate” som sammanfogas.
När dessa strg är klara, klicka på “Merge Trusted Root Certificate into Key Ring” för att slutföra processen.
Du kommer uppmanas att mata in lösenordet för nyckelringen (“Key Ring files”).

9. Sista steget. Domino är nu nästan klar att använda SSL-certifikatet.
Nu skall servercertifikatet från din CA sammanfogas i nyckelringen (“Key Ring file”).
Make certain you can access the Key Ring file and follow the instructions provided by your CA to retrieve the new Server Certificate.

En del CAs skickar certifikatet som en bilaga i ett mail, andra tillhandahåller en länk för nedladdning av certifikatet eller kopiering till klippbordet (Ctrl+C).
När du har fått tag i certifikatet, öppna databasen “Server Certificate Admin application” och välj det fjärde alternativet “Install Certificate Into Key Ring”.

Förfarandet påminner om när “Trusted Root Certificate” lades till tidigare.

Det första fältet skall peka ut nyckelringen (“Key Ring file”) som skapades tidigare.
“Certificate Source” beror på vilken CA som används, välj den källa som din CA använt och klistra in eller bifoga certifikatet.
Klicka på knappen “Merge Certificate into Key Ring”.

När detta är klart är nyckelringen (“Key Ring file”) och “.sth”-filen klara att flyttas till servern och användas för SSL-kryptering!

Tags:
,