Domino SSL SHA2启用手册

 

一、前期准备：

 

Domino9.0.1 FP3以及以后版本可以支持SHA2格式的key。最早domino 9.0可以打IF临时补丁包也可以支持SHA2。Notes客户端也必须是9.0以上版本才能产生SHA2格式的Key。

 

本次domino版本为9.0.1FP4支持SHA2，notes客户端的版本为notes9.0.1FP7.

 

需要提前下载OpenSSL和KYRTool工具产生私钥并合并私钥到Keyfile.kyr文件。

 

二、启用步骤：

1.      打开OPENSSL下载连接，下载OPENSSLhttps://slproweb.com/products/Win32OpenSSL.html

2.      选择3MB大小的轻量级openSSL版本即可：Win32 OpenSSL v1.1.0c Light

3.      下载并安装完后，需要打开CMD窗口，输入：

Setopenssl_conf=D:\OpenSSL-Win32\bin\openssl.cfg （OPENSSL的安装地址）

4.      CMD窗口，CD到Openssl的bin目录，执行：

Openssl genrsa –outserver.key 4096 :

Generating RSA private key, 4096 bit long modulus

........................................................................................++

...................................................................++

e is 65537 (0x10001)

5.      使用产生的RSA私钥文件产生一个server.csr证书认证请求文件。

CMD窗口，CD到Openssl的bin目录，执行：

Openssl req –new–sha256 –key server.key –out server.csr :

执行完后会逐渐显示下面的提示，必须要正确的填写好各选项：

其中“Organization Name”可以直接写中文的公司名称

“Common Name”可以写需要使用SHA2的自己网址，也可以写通配符

比如www.abc.com 或*.abc.com。通配符的证书可以用到所有公司相关的网站.

You are about to be asked to enter information that will beincorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Nameor a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [XX]:.

State or Province Name (full name) []:

Locality Name (eg, city) [Default City]:.

Organization Name (eg, company) [Default Company Ltd]:.

Organizational Unit Name (eg, section) []:.

Common Name (eg, your name or your server's hostname)[]:www.example.com

Email Address []:

 

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional companyname []:

 

6.      将产生的server.csr证书认证请求文件发给第三方CA认证机构。一般会收费。

7.      下载KYRTOOL：http://www-933.ibm.com/support/fixcentral/swg/selectFixes?parent=ibm~Lotus&product=ibm/Lotus/Lotus+Domino&release=9.0.1.2&platform=All&function=fixId&fixids=KYRTool_9x_ClientServer这个下载目前需要必须有IBM的客户服务号，才能下载。

8.      将下载的KYRTOOL.exe复制到notes 9.0.1客户端的程序目录。比如”D:\ibm\notes\”下。

9.      CMD窗口CD到KYRTOOL.exe文件夹。

10.  执行kyrtool.exe create –k D:\keyfile.kyr -p password  （password最好改成自己需要的密码。）可以看到如下提示：

Keyfile c:\lotus\notes\data\keyfile.kyr created successfully

 

2 [C:\Lotus\Notes\Data] dir keyring*

Volume in drive C is C_Drive

Volume Serial Number is 306D-00D5

 

Directory of C:\Lotus\Notes\Data

 

10/08/2014 02:15 PM 29,161 keyfile.kyr

10/08/2014 02:15 PM 129 keyring.sth

2 File(s) 29,290 bytes

0 Dir(s)400,743,673,856 bytes free

11.  等第三方机构认证完毕后，拿到认证后的server.crt证书和对应的CA的ROOT证书和中间证书。

12.  将server.crt,CA的中间证书和ROOT证书全部倒入到keyfile.kyr文件里面。

步骤如下：

           导入CA的根证书

kyrtool import roots -i C:\root.crt -k "C:\ProgramFiles\ibm\notes\data\keyfile.kyr"

导入CA的中间证书

kyrtool importroots -i C:\intermediate.crt -k "C:\Program Files\ibm\notes\data\keyfile.kyr"

导入本地产生的私有密钥证书

kyrtool importkeys -i C:\server.key -k "C:\Program Files\ibm\notes\data\keyfile.kyr"

导入CA认证后的私有证书。

kyrtool importcerts -i C:\sitecert.crt -k "C:\Program Files\ibm\notes\data\keyfile.kyr"

 

13.  执行完毕后，将keyfile.kyr和keyfile.sth文件copy到Domino9.0.1FP4的DATA目录下。重启HTTP或者Domino服务后生效。

 

附注：第12步骤可以使用notes管理员端，将这几个CA提供的证书导入到keyfile.kyr，但是server.kye私有证书需要用CMD命令行执行导入操作。

 

 

 

附注：Domino由85版本升级9.0.1以上版本，优化Domino服务器，迁移Domino服务器，启用SSL SHA2等需求可以留言联系。