T4S2-SSL Domino

*
Bernhard Kolb
Admincamp 2010
[email protected]
* Allgemeine Grundlagen der PKI
* Wozu Zertifikate?
* Handhabung in der Notes Infrastruktur
* …und im Web (X.509)
* Walkthrough: Aufsetzen einer CA
* Walkthrough: SSL am Domino Server einrichten
* Walkthrough: Client Certificates
*
* Ziele:
* Sichere (verschlüsselte) Datenübertragung
* Vertrauenswürdige Kommunikation
* Umgesetzt mit asymetrischer Verschlüsselung
*
*
*
*
*
*
* Um die Identität von Alice & Bob
sicherzustellen brauchen wir ein „trusted root“
* Vertrauenswürdige Stelle stellt Zertifikate aus
* => Certificate Authority
* Vorinstallierte Zertifikate von CAs
* Verisign
* [ GoDaddy ]
* Entrust…..
*
* Bei Installation des ersten Servers -> cert.id
* Bei Registrierung eines Users -> user.id
* Austausch mit anderer Organisation
* 1) File-Security-Your identity-Certificates
other Actions – Export Notes ID (safe copy)
* 2) safe.ids mit andrem Admin austauschen
* 3) im Admin Client: Configuration – Certification –
Cross certify
* 4) Adressbücher austauschen (Directory Assistance)
*
*
* Aussteller
* Gültig von
* Gültig bis
* Antragsteller
* Public Key
* Bei Web-Servern: DNS Name(n)
*
* Easy way – Server Certificate Admin DB
* Certserv.nsf (csrv50.ntf)
* Self signed Certificate
* Copy serlfcert.* -> Domino Data Dir
* Serverdokument
* Ports – Internet Ports
* SSL Keyfile Name: selfcert.kyr
* SSL Port enalbeld Yes
* Console: tell http restart
*
* Im Serverdokument – internet Protocols
* Directory (LDAP)
* Mail (POP, IMAP, SMTP)
* DIIOP (Java access)
*
* In der Server Certificate Admin DB
* Erstellen eines Keyrings
* Generieren eines Requests
* Einfügen in den Keyring
*
* MYCA.nsf (cca50.ntf) am Server erstellen
* Rolle CAPrivilegedUser für Admin selektieren
* Certificate Keyring erstellen
* CA Profil konfigurieren
* Server Keyring erstellen
*
* Web Zugang zur MYCA.nsf
* Client Request stellen
* Server Certificate laden
* Admin gibt Client request frei
* Client importiert in den Browser (Firefox)
* Optional:
* Zertifikat exportieren
* In die User.id importieren
*
* Certreq.nsf (certreq.ntf) anlegen
* Certifyer migrieren (admin client)
* Keyring erstellen…konfigurieren
* Load ca auf Serverconsole
* Client request per Web (Firefox)
* 1) in der certreq.nsf -> submit to AdminP
* 2) Personendokument checken
* 3) in der admin4.nsf approve (Certificate requests)
* 4) in der certreq.nsf -> pull from AdminP
*
* Wenn ein User ausscheidet, oder man das
Zertifikat eben für ungültig erklären möchte
* In der icl\Admincamp.nsf
* View: issued Certificates
* Dokument öffnen – revoke Certificate
*