IBM LOTUS DOMINO 9 部署SSL证书

前言

随着SHA1算法在2016年12月31日以后,将被强制淘汰,所有新的SSL证书都必须支持SHA256算法,所以我们必须将IBM Domino Server升级到9.0以上才可以支持SHA256算法。同时,以前用来生成Kyr文件的iKeyman5 已经无法再为SHA256的证书服务了,IBM随同Domino 9发布了一个Kyrtool的命令行工具。我们在Domino 9 下必须使用这个工具来完成证书格式的转换。

查找中间证书

为了确保兼容到所有浏览器,我们必须在阿里云上部署中间证书,如果不部署证书,虽然安装过程可以完全也不会报错,但可能导致Android系统,Chrome 和 Firefox等浏览器无法识别。请到 中间证书下载工具,输入您的Server.cer,然后下载中间证书,请将中间证书保存为Chain.cer,请见根证书保存为Root.cer。

安装kyrtool工具

首先请在一台已经安装IBM DOMINO 9 的电脑上下载:kyrtool 1.1工具
解压文件(kyrtool.exe)到c:\program files\ibm\domino ,即可准备使用。

制作Kyr文件

1、先生成一个新的kyr文件

 kyrtool =notes.ini create -k server.kyr -p password

(请在命令行,c:\program files\ibm\domino目录下运行,产生的server.kyr文件在c:\program files\ibm\domino\data目录下)
2、将前面准备好的证书私钥,服务器证书,中间证书,根证书复制到一个文件server.cer,顺序如下:

第一段:私钥
-----BEGIN RSA PRIVATE KEY-----
MIIEpAIBAAKCAQEAmEodTcl16P01GbWg2Dr+1FR6Q4D85283ROi7U+eMi6Ex8fF+
IhtB9edaOfywKPgdw1rgCxOIh6kHiiqvZvRvIEacFu0qqBTJeyPmeg==
-----END RSA PRIVATE KEY-----
第二段:服务器证书
-----BEGIN CERTIFICATE-----
MIIGGzCCBQOgAwIBAgIQP3zt9jHcE2Eo63f6I16j+DANBgkqhkiG9w0BAQsFADBE
bcRr/RLp0ziC56tOErlDGmaj1wytlTwSxdG86YinsA==
-----END CERTIFICATE-----
第三段:中间证书
-----BEGIN CERTIFICATE-----
MIIETzCCAzegAwIBAgIDAjpvMA0GCSqGSIb3DQEBCwUAMEIxCzAJBgNVBAYTAlVT
QNaFHlHpURceA1bJ8TCt55sRornQMYGbaLHZ6PPmlH7HrhMvh+3QJbBo+d4IWvMp
zNSS
-----END CERTIFICATE-----
第四段:根证书
-----BEGIN CERTIFICATE-----
MIIDVDCCAjygAwIBAgIDAjRWMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT
5fEWCRE11azbJHFwLJhWC9kXtNHjUStedejV0NxPNO3CBWaAocvmMw==
-----END CERTIFICATE-----

3、检验这个文件 (用命令行,cd到domino目录下,kyr文件在.\data\目录下)

 kyrtool =notes.ini verify .\data\server.cer

	KyrTool v1.1

Successfully read 2048 bit RSA private key
INFO: Successfully read 3 certificates
INFO: Private key matches leaf certificate
INFO: IssuerName of cert 0 matches the SubjectName of cert 1
INFO: IssuerName of cert 1 matches the SubjectName of cert 2
INFO: Final certificate in chain is self-signed

4、 导入这个server.cer到 kyr文件

kyrtool =notes.ini import all -k server.kyr -i .\data\server.cekeytr

5、 检查这个server.kyr文件

  kyrtool =notes.ini show keys -k server.kyr
  kyrtool =notes.ini show certs -k server.kyr

部署Kyr文件到Domino Server

1、将本地SSL密钥环文件(.kyr和.sth 2个文件)复制或FTP到Domino服务器的数据目录中。

2、对SSL密钥环文件设置相应的权限,以确保Domino服务器可以访问文件。 对于Windows,通常在将文件复制/粘贴到服务器时自动设置适当的权限。 对于IBMi / OS400,文件所有者应设置为QNOTES。 对于UNIX,将文件权限设置为拥有所有Domino服务器文件的相同所属标识。

3、更新服务器文档以使用适用于Web服务器配置的适当方法开始使用新的SSL密钥环文件。 (要确认您是否使用Internet Site documents,请打开服务器文档到Basic选项卡,并验证字段“Load Internet configurations from Server\Internet Sites documents”的值,如果这里为启用,您正在使用Internet站点文档,这些文档位于“ Configuration - Web - Internet - Sites”下的Domino目录中。

a、 如果你不使用Internet Site documents,在服务器文档中进入“Ports -> Internet Ports”。 在“SSL key file name”字段中输入Kyr文件名。

b、如果您使用的是Internet Site documents ,找到需要创建SSL Kyr文件的internet Site documnets,然后选择“Security"”选项卡,并将“Key file name”内容更新为已经创建好的Kyr文件(Server.kyr)。

4、确保服务器的SSL端口状态在“Ports -> Internet Ports -> Web”设置为“已启用”。

5、通过在Domino服务器控制台上发出命令“tell http restart”重新启动HTTP任务。 如果其他任务需要使用密钥环,请重新启动这些任务。

时间: 2024-11-05 09:33:36

IBM LOTUS DOMINO 9 部署SSL证书的相关文章

Resin 4.0 部署SSL证书

前言 Resin目前最新的版本还是4.0 (4.0.49),使用Java EE6,在Resin上部署证书,一般有两种方式,首先我们推荐采用Openssl方式,不仅因为Openssl模式下的速度更快,而且Openssl对TLS的支持更好,安全性高:另外一种JSSE方式,不仅速度慢,而且JSSE6仅支持TLS1.0. 我们在下面会分别介绍这2种模式. 查找中间证书 如果采用Openssl模式部署证书,为了确保兼容到所有浏览器,我们必须部署中间证书,如果不这么做,虽然安装过程并不会报错,但可能导致An

集成apache部署ssl证书

网站上面部署ssl证书的站点越来越多,但有很多集成式的web服务器无法按照一般站点的配置来部署ssl证书,现在,小编就以集成式apache为例,为大家展示一下正确的ssl证书部署! 首先,确保你的apache编译了ssl模块,这是支持ssl证书必要的条件(如果没有,请编译). 第一:进入到apache目录下,找到#LoadModule ssl_module modules/mod_ssl.so,去掉前面的注释符,使得ssl模块生效. 第二,找到配置80的地方,按照80的配置,另起一个Virtua

部署SSL证书解决ios7.1的app下载问题

一.  问题描述 最近苹果发布了IOS7.1.话说苹果每次发布都牵动开发者的心哈.苹果从ios7.1开始,用户安装app,需要使用https协议,来下载plist文件.也就说,在安装app的第一步,下载.plist文件,需要使用https协议.https协议如下: 这里不详细描述https协议.简单描述,用户使用https来下载.plist文件.则需要网站支持https协议.支持https协议,除了服务端做一些配置外,还需要申请一张服务器SSL证书,这个SSL证书必须是受信任的CA机构发的(如沃

IIS部署SSL证书后提示不可信的解决方案

IIS部署SSL证书后提示不可信的解决方案 本帖最后由 wosign-support3 于 2015-7-17 17:18 编辑 第一步:打开mmc——点击文件——添加删除管理单元——证书——计算机帐户 第二步:在计算机帐户的个人证书里面导入pfx格式的证书,导入时选择将证书全部导入到个人<ignore_js_op> 里面,然后在个人里面可以看到下面三个证书 第三步:将中级根和交叉根直接拖到到中级证书颁发机构里面 第四步:找到受信任的根证书颁发机构,把顶级根拖到不受信任里面(防止恢复) 4.j

Ubuntu系统Apache 2部署SSL证书

Ubuntu系统Apache 2部署SSL证书 本文档为您介绍了如何在Ubuntu系统以及Apache2中安装阿里云SSL证书. 环境准备 操作系统:Ubuntu Web服务器:Apache 2 前提条件 已从SSL证书控制台下载Apache服务器证书. 已安装Open SSL. 操作步骤 运行以下命令在apache2目录下创建ssl目录. mkdir /etc/apache2/ssl 运行以下命令将下载的阿里云证书文件复制到ssl目录中. cp -r YourDomainName_public

Ubuntu系统Apache2部署SSL证书

Ubuntu系统Apache2部署SSL证书 前提条件 已从SSL证书控制台下载Apache服务器证书 步骤 在apache2目录下创建SSL目录 mkdir /etc/apache2/ssl 使用命令或者WinSCP等途径将你下载下来的SSL的Apache证书上传到ssl目录中 启用SSL模块a2enmod ssl 修改SSL配置文件vim /etc/apache2/sites-available/default-ssl.conf在配置文件中修改一下内容,如果没有就添加<IfModules m

linux下的apache部署ssl证书

一.安装准备1.安装Openssl 要使Apache支持SSL,需要首先安装Openssl支持.推荐下载安装openssl-0.9.8k.tar.gz   下载Openssl:http://www.openssl.org/source/ tar -zxf openssl-0.9.8k.tar.gz    //解压安装包    cd openssl-0.9.8k     //进入已经解压的安装包    ./config          //配置安装.推荐使用默认配置    make &&

网站为什么需要部署SSL证书

SSL是目前解决网站机密信息安全和证明网站真实身份的唯一技术手段,在欧美,几乎所有电子商务网站都部署了SSL证书;中国著名电子商务网站和门户网站都已部署了SSL证书. SSL是网上建立信任的基石     如果你拥有或运行网站——特别是访客进行网上交易(如使用信用卡购物)的那种网站,那么你的访客要确信:你的网站是安全的.为什么这很重要?因为如果有人访问你的网站,其信用卡信息被网络犯罪分子盗窃了,那么他们恐怕再也不会光顾你的网站.他们还可能在各种社交网络网站上发帖讲述糟糕经历,或者对你的网站给予差评

阿里云部署SSL证书

查找中间证书 为了确保兼容到所有浏览器,我们必须在阿里云上部署中间证书,如果不部署证书,虽然安装过程可以完全也不会报错,但可能导致Android系统,Chrome 和 Firefox等浏览器无法识别.请到 中间证书下载工具,输入您的Server.cer,然后下载中间证书,请将中间证书保存为Chain.cer. 服务器证书和中间证书连接 首先我们需要将中间证书Chain.cer加入到服务器证书Server.cer文件中,请将Chain.cer中的所有内容复制,并粘贴到Server.cer,顺序是: