Velmi často se objevuje otázka jak na serveru IBM Domino použít SSL certifikát a je to i jeden z bodů, které jsou probírané na mích školeních Administrace serveru IBM Domino. Tento měsíc jsem generoval SSL certifikáty pro několik IBM Domino serverů a není to nic složitého. Níže si ukážeme příkazu a nástroje, které vám umožní nasadit SSL certifikát pro server IBM Domino.
Co budeme potřebovat
Pro úspěšné vytvoření SSL certifikátu budete potřebovat následující externí nástroje, které jsi dostupné zdarma:
- OpenSSL – tento nástroj je možné instalovat na OS Windows, ale pokud máte operační systém macOS, tak zde je OpenSSL integrovaný. Vzhledem k tomu, že osobně používám MacBook Air s operačním systémem macOS, tak používám OpenSSL integrované v macOS. Popis instalace, tak nebude součástí tohoto článku.
- IBM KyrTool – nástroj od IBM, který je možné instalovat na operační systém Windows a pro svoji činnost potřebuje klienta IBM Notes nebo server IBM Domino. Soubor kyrtool.exe je potřeba umístit do programového adresáře, V našem případě to bude do programového adresáře klienta IBM Notes. IBM KyrTool budete potřebovat pro vygenerován souborů s SSL certifikátem který bude možné použít v IBM Domino serveru.
Použití OpenSSL
OpenSSL budete potřebovat pro vygenerování souboru privátního klíče, který použijete pro následné vygenerování souboru CSR. Soubor CSR potom předáte certifikační autoritě k vygenerování SSL certifikátu.
Vygenerování privátního klíče
Nyní si vygenerujeme privátní klíč s délkou 2048 bitů, který bude uložen v adresáři TEMP na disku „C“ (v případě Windows) nebo v uživatelském adresáři (v případě macOS). V závislosti na tom kde používáte OpenSSL proveďte jeden z následujících příkazů:
- Windows: C:\OpenSSL\bin\openssl genrsa -out C:\TEMP\cert\server.key 2048
- macOS: spusť terminál, spusťte OpenSSL a zadejte příkazgenrsa -out /Users/maha/TEMP/cert/server.key 2048
Vygenerování CSR souboru
CSR soubor obsahuje informace, které budou následně uvedeny v certifikátu, který vám vystaví certifikační autorita. V závislosti na tom zda používáte Windows nebo macOS použijte jeden z následujících příkazů:
- Windows: C:\OpenSSL\bin\openssl req -new -sha256 -key C:\TEMP\cert\server.key -out C:\TEMP\cert\server.csr
- macOS: v terminálu spusťte OpenSSL a zadejte příkazreq -new -sha256 -key /Users/maha/TEMP/cert/server.key -out /Users/maha/TEMP/cert/server.csr
Bez ohledu na to zda používáte Windows nebo macOS, budete po provedení výše uvedeného příkazu postupně vyzváni k zadání následujících informací:
- Country Name (2 letter code) []:CZ
- State or Province Name (full name) []:Czech Republic
- Locality Name (eg, city) []:Brno
- Organization Name (eg, company) []:DemoCorp
- Organizational Unit Name (eg, section) []:
- Common Name (eg, fully qualified host name) []:webmail.democorp.cz
- Email Address []:
Vygenerovaný soubor předejte certifikační autoritě, která pro vás bude vystavovat SSL certifikát. Já vám zde dám dva odkazy a to na www.ssls.cz a www.sslmarket.cz.
Použití IBM KyrTool
V předchozím kroku jste si vytvořili CSR žádost a požádali o příslušný certifikát. Z certifikační autority jste obdrželi následující soubory:
- váš SSL certifikát (v mém případě jde o soubor certificate.pem)
- root certifikát certifikační autority (v mém případě jde o soubor root.cer)
- certifikát zprostředkující certifikační autority (v mém případě jde o soubor intermediate.cer)
Všechny soubory s výše uvedenými certifikáty budete potřebovat ve formátu PEM, CER nebo CRT. Pokud jste je obdrželi v jiném formátu, tak je budete muset převést na jeden z výše uvedených formátů.
Nyní se tedy podíváme jak z nich uděláme soubory KYR a STH které budete potřebovat abyste mohli serveru IBM Domino zprovoznit zabezpečený web na HTTPS.
Vytvoření souboru server.txt
Tento soubor bude obsahovat privátní klíč, certifikát SSL, root certifikát certifikační autority a intermediate certifikát. S východu k tomu můžeme použít následující příkaz z Command line:
C:\ type server.key server.pem root.cer intermediate.cer > server.txt
Vytvoření souboru keyfile.kyr a keyfile.sth
Tyto soubory budou později předány Domino serveru. Jejich vytvoření provedete prostřednictvím následující příkazu:
„C:\Program Files (x86)\IBM\Notes\kyrtool“ =“C:\Program Files (x86)\IBM\Notes\notes.ini“ create -k C:\TEMP\cert\keyfile.kyr -p PASSWORD
Import certifikátu do souboru keyfile.kyr
„C:\Program Files (x86)\IBM\Notes\kyrtool“ =“C:\Program Files (x86)\IBM\Notes\notes.ini“ import all -k C:\TEMP\cert\keyfile.kyr -i C:\TEMP\cert\server.txt
Nahrání souborů na Domino server
Nyní je výše uvedené soubory potřeba nahrát na IBM Domino server a nastavit je v nastavení portrů. Tato konfigurace může být na dvou místech:
- Konfigurace v dokumentu Internet site.
- Konfigurace v server dokumentu.
Uvedené soubory KYR a STH nakopírujte do datového adresáře serveru Domino serveru a restartujte HTTP task.