domenica 8 febbraio 2015

Certificato SSL , dal KDB al Kyr passando per il Kyrtool

In questi giorni mi sono ritrovato alcuni certificati SSL di clienti da rinnovare cosi, ne approfitto per mettere giu 2 righe sulla procedura quando i prodotti di mezzo possono essere prodotti was based (connections, portal, sametime) e Domino.

Negli ultimi mesi come sapete sono emerse diverse vulnerabilità SSL , quindi per essere in stato di sicurezza dovete avere il servizio esposto almeno in TLS 1.0 (al connected hanno annunciato il futuro rilascio del TLS 1.2 probabilmente come hot fix di 9.0.1 FP3) , e la richiesta deve essere crittografata in SHA-2 (Domino 9.X obbligatorio).

La richiesta ho pensato di farla con Ikeyman (tool compreso nelle installazioni di IBM Http Server) per poi andarla ad importare in un file kyr per domino dal nuovo tool kyrtool, capace di gestire certificati SHA2

La parte del Ikeyman la tralascio perchè è semplice.
Di fatto  bisogna:
  • creare la richiesta (certificati personali, crea richiesta , 2048bit sha2)
  • importare root e intermediate certificate forniti dal creatore del ceritficato
  • importare il certificato
ora che abbiamo il KDB funzionante per Sametime e IHS, dobbiamo esportare il certificato per poterlo inserire nel file kyr.
Da certificati personali , importa esporta
esporta chiave pkcs12, ed otteniamo un key.p12


Tramite un server OpenSSL (mi sono collegato ad una SLES) ho estratto cert e key dal file p12
openssl pkcs12 -in path.p12 -out newfile.crt.pem -clcerts -nokeys
openssl pkcs12 -in path.p12 -out newfile.key.pem -nocerts -nodes

Ora tramite kyrtool generiamo il nuovo file KYR
C:\IBM\Notes>kyrtool.exe =c:\IBM\Notes\notes.ini create -k c:\IBM\Notes\Data\certificato.kyr -p passwordcert

otterremo come risposta

Keyfile c:\IBM\Notes\Data\certificato.kyr created successfully

ora importiamo, key e crt ottenuti precedentemente con i comandi openssl
C:\IBM\Notes>kyrtool.exe import keys -i c:\tmp\ssl2\newfile.key.pem -k c:\IBM\Notes\Data\certificato.kyr

Using keyring path 'c:\IBM\Notes\Data\certificato.kyr'
Successfully read 2048 bit RSA private key
SECIssUpdateKeyringPrivateKey succeeded


C:\IBM\Notes>kyrtool.exe import certs -i c:\tmp\ssl2\newfile.crt.pem -k c:\IBM\Notes\Data\certificato.kyr

la risposta sarà:

Using keyring path 'c:\IBM\Notes\Data\certificato.kyr'
SECIssUpdateKeyringLeafCert succeeded

ora mancano i certificati intermedi

C:\IBM\Notes>kyrtool.exe import roots -i c:\tmp\ssl2\intermediate.arm -k c:\IBM\Notes\Data\certificato.kyr

Using keyring path 'c:\IBM\Notes\Data\certificato.kyr'
SEC_mpfct_ImportTrustRootToKYR succeeded


C:\IBM\Notes>kyrtool.exe import roots -i c:\tmp\ssl2\GT_PrimaryIntermediate_QuickSSLPremium_SSLTrial.txt -k c:\IBM\Notes\Data\certificato.kyr

Using keyring path 'c:\IBM\Notes\Data\certificato.kyr'
SEC_mpfct_ImportTrustRootToKYR succeeded


C:\IBM\Notes>kyrtool.exe import roots -i c:\tmp\ssl2\GT_SecondaryIntermediate_QuickSSLPremium_SSLTrial.txt -k c:\IBM\Notes\Data\certificato.kyr

Using keyring path 'c:\IBM\Notes\Data\certificato.kyr'
SEC_mpfct_ImportTrustRootToKYR succeeded

Con la procedura descritta abbiamo quindi ottenuto il nuovo kyr contenente il certificato SSL 2048bit SHA2

Nessun commento:

Posta un commento