T4S2-SSL Domino
Transcrição
T4S2-SSL Domino
* Bernhard Kolb Admincamp 2010 [email protected] * Allgemeine Grundlagen der PKI * Wozu Zertifikate? * Handhabung in der Notes Infrastruktur * …und im Web (X.509) * Walkthrough: Aufsetzen einer CA * Walkthrough: SSL am Domino Server einrichten * Walkthrough: Client Certificates * * Ziele: * Sichere (verschlüsselte) Datenübertragung * Vertrauenswürdige Kommunikation * Umgesetzt mit asymetrischer Verschlüsselung * * * * * * * Um die Identität von Alice & Bob sicherzustellen brauchen wir ein „trusted root“ * Vertrauenswürdige Stelle stellt Zertifikate aus * => Certificate Authority * Vorinstallierte Zertifikate von CAs * Verisign * [ GoDaddy ] * Entrust….. * * Bei Installation des ersten Servers -> cert.id * Bei Registrierung eines Users -> user.id * Austausch mit anderer Organisation * 1) File-Security-Your identity-Certificates other Actions – Export Notes ID (safe copy) * 2) safe.ids mit andrem Admin austauschen * 3) im Admin Client: Configuration – Certification – Cross certify * 4) Adressbücher austauschen (Directory Assistance) * * * Aussteller * Gültig von * Gültig bis * Antragsteller * Public Key * Bei Web-Servern: DNS Name(n) * * Easy way – Server Certificate Admin DB * Certserv.nsf (csrv50.ntf) * Self signed Certificate * Copy serlfcert.* -> Domino Data Dir * Serverdokument * Ports – Internet Ports * SSL Keyfile Name: selfcert.kyr * SSL Port enalbeld Yes * Console: tell http restart * * Im Serverdokument – internet Protocols * Directory (LDAP) * Mail (POP, IMAP, SMTP) * DIIOP (Java access) * * In der Server Certificate Admin DB * Erstellen eines Keyrings * Generieren eines Requests * Einfügen in den Keyring * * MYCA.nsf (cca50.ntf) am Server erstellen * Rolle CAPrivilegedUser für Admin selektieren * Certificate Keyring erstellen * CA Profil konfigurieren * Server Keyring erstellen * * Web Zugang zur MYCA.nsf * Client Request stellen * Server Certificate laden * Admin gibt Client request frei * Client importiert in den Browser (Firefox) * Optional: * Zertifikat exportieren * In die User.id importieren * * Certreq.nsf (certreq.ntf) anlegen * Certifyer migrieren (admin client) * Keyring erstellen…konfigurieren * Load ca auf Serverconsole * Client request per Web (Firefox) * 1) in der certreq.nsf -> submit to AdminP * 2) Personendokument checken * 3) in der admin4.nsf approve (Certificate requests) * 4) in der certreq.nsf -> pull from AdminP * * Wenn ein User ausscheidet, oder man das Zertifikat eben für ungültig erklären möchte * In der icl\Admincamp.nsf * View: issued Certificates * Dokument öffnen – revoke Certificate *