In questi giorni mi sono ritrovato alcuni certificati SSL di clienti da rinnovare cosi, ne approfitto per mettere giu 2 righe sulla procedura quando i prodotti di mezzo possono essere prodotti was based (connections, portal, sametime) e Domino.
Negli ultimi mesi come sapete sono emerse diverse vulnerabilità SSL , quindi per essere in stato di sicurezza dovete avere il servizio esposto almeno in TLS 1.0 (al connected hanno annunciato il futuro rilascio del TLS 1.2 probabilmente come hot fix di 9.0.1 FP3) , e la richiesta deve essere crittografata in SHA-2 (Domino 9.X obbligatorio).
La richiesta ho pensato di farla con Ikeyman (tool compreso nelle installazioni di IBM Http Server) per poi andarla ad importare in un file kyr per domino dal nuovo tool kyrtool, capace di gestire certificati SHA2
La parte del Ikeyman la tralascio perchè è semplice.
Di fatto bisogna:
- creare la richiesta (certificati personali, crea richiesta , 2048bit sha2)
- importare root e intermediate certificate forniti dal creatore del ceritficato
- importare il certificato
ora che abbiamo il KDB funzionante per Sametime e IHS, dobbiamo esportare il certificato per poterlo inserire nel file kyr.
Da certificati personali , importa esporta
esporta chiave pkcs12, ed otteniamo un key.p12
Tramite un server OpenSSL (mi sono collegato ad una SLES) ho estratto cert e key dal file p12
openssl pkcs12 -in path.p12 -out newfile.crt.pem -clcerts -nokeys
openssl pkcs12 -in path.p12 -out newfile.key.pem -nocerts -nodes
openssl pkcs12 -in path.p12 -out newfile.key.pem -nocerts -nodes
Ora tramite kyrtool generiamo il nuovo file KYR
C:\IBM\Notes>kyrtool.exe =c:\IBM\Notes\notes.ini create -k c:\IBM\Notes\Data\certificato.kyr -p passwordcert
otterremo come risposta
otterremo come risposta
Keyfile c:\IBM\Notes\Data\certificato.kyr created successfully
C:\IBM\Notes>kyrtool.exe import keys -i c:\tmp\ssl2\newfile.key.pem -k c:\IBM\Notes\Data\certificato.kyr
Using keyring path 'c:\IBM\Notes\Data\certificato.kyr'
Successfully read 2048 bit RSA private key
SECIssUpdateKeyringPrivateKey succeeded
C:\IBM\Notes>kyrtool.exe import certs -i c:\tmp\ssl2\newfile.crt.pem -k c:\IBM\Notes\Data\certificato.kyr
la risposta sarà:
Using keyring path 'c:\IBM\Notes\Data\certificato.kyr'
Successfully read 2048 bit RSA private key
SECIssUpdateKeyringPrivateKey succeeded
C:\IBM\Notes>kyrtool.exe import certs -i c:\tmp\ssl2\newfile.crt.pem -k c:\IBM\Notes\Data\certificato.kyr
la risposta sarà:
Using keyring path 'c:\IBM\Notes\Data\certificato.kyr'
SECIssUpdateKeyringLeafCert succeeded
ora mancano i certificati intermedi
C:\IBM\Notes>kyrtool.exe import roots -i c:\tmp\ssl2\intermediate.arm -k c:\IBM\Notes\Data\certificato.kyr
Using keyring path 'c:\IBM\Notes\Data\certificato.kyr'
SEC_mpfct_ImportTrustRootToKYR succeeded
C:\IBM\Notes>kyrtool.exe import roots -i c:\tmp\ssl2\GT_PrimaryIntermediate_QuickSSLPremium_SSLTrial.txt -k c:\IBM\Notes\Data\certificato.kyr
Using keyring path 'c:\IBM\Notes\Data\certificato.kyr'
SEC_mpfct_ImportTrustRootToKYR succeeded
C:\IBM\Notes>kyrtool.exe import roots -i c:\tmp\ssl2\GT_SecondaryIntermediate_QuickSSLPremium_SSLTrial.txt -k c:\IBM\Notes\Data\certificato.kyr
Using keyring path 'c:\IBM\Notes\Data\certificato.kyr'
SEC_mpfct_ImportTrustRootToKYR succeeded
Con la procedura descritta abbiamo quindi ottenuto il nuovo kyr contenente il certificato SSL 2048bit SHA2
Using keyring path 'c:\IBM\Notes\Data\certificato.kyr'
SEC_mpfct_ImportTrustRootToKYR succeeded
C:\IBM\Notes>kyrtool.exe import roots -i c:\tmp\ssl2\GT_PrimaryIntermediate_QuickSSLPremium_SSLTrial.txt -k c:\IBM\Notes\Data\certificato.kyr
Using keyring path 'c:\IBM\Notes\Data\certificato.kyr'
SEC_mpfct_ImportTrustRootToKYR succeeded
C:\IBM\Notes>kyrtool.exe import roots -i c:\tmp\ssl2\GT_SecondaryIntermediate_QuickSSLPremium_SSLTrial.txt -k c:\IBM\Notes\Data\certificato.kyr
Using keyring path 'c:\IBM\Notes\Data\certificato.kyr'
SEC_mpfct_ImportTrustRootToKYR succeeded
Con la procedura descritta abbiamo quindi ottenuto il nuovo kyr contenente il certificato SSL 2048bit SHA2
Nessun commento:
Posta un commento