Hilfe zu IBM Domino Social Edition Administrator 9.0.1

SICHERHEIT

SSL auf einem serverbasierten CA-Server einrichten
Da Serveradministratoren und Clients mit Browsern auf die CA-Server zugreifen, um Zertifikate anzufordern und entgegenzunehmen, sollten Sie SSL zum Schutz des CA-Servers verwenden. Wenn Sie den CA-Server für SSL einrichten, erstellen Sie die Serverschlüsselringdatei und fordern ein Serverzertifikat an. Domino bestätigt automatisch das Serverzertifikat und nimmt das CA-Zertifikat als Wurzelinstanz auf.

Warum und wann dieser Vorgang ausgeführt wird

Informationen darüber, wie Serverzertifikatsanforderungen für Domino-Server bestätigt werden, die keine CA-Server sind, finden Sie im zugehörigen Thema "Serverzertifikate signieren".

Anmerkung: Vielleicht möchten Sie in manchen Fällen die Domino 5-Zertifizierungsstelle verwenden, z. B. wenn Sie Domino mithilfe eines Fremdanbieterzertifikats für SSL konfigurieren. Weitere Informationen hierzu finden Sie in den verwandten Themen für die Technote Setting up a Domino 5 certificate authority.

So richten Sie SSL auf einem serverbasierten CA-Server ein

Prozedur

1. Erstellen Sie einen Internetzertifizierer.

2. Erstellen Sie die Anwendung "Certificate Requests" (CERTREQ.NSF).

3. Führen Sie die folgenden Schritte aus, um eine Serverschlüsselringdatei zu erstellen, in der das Serverzertifikat gespeichert wird, und nehmen Sie das CA-Zertifikat als Wurzelinstanz in die Serverschlüsselringdatei auf:

Wählen Sie in der Datenbank "Zertifikatsanforderungen" die Optionen

Domino Key Ring Management

Create Key Ring

aus.

b. Füllen Sie in der Maske "Create Key Ring" die folgenden Felder aus:

c. Überprüfen Sie die Informationen im Dialogfeld Key Ring Created und klicken Sie anschließend auf "OK", um ihre Zertifizierungsstelle als Wurzelinstanz hinzuzufügen und eine Zertifikatsanforderung für den Server zu erstellen.

d. Überprüfen Sie die Informationen im Dialogfeld Merge Trusted Root Certificate Confirmation und klicken Sie auf OK.

e. Wenn das Dialogfeld "Certificate received into key ring and designated as trusted root confirmation" angezeigt wird, klicken Sie auf OK.

f. Wenn das Dialogfeld Certificate Request Successfully Submitted for Key Ring angezeigt wird, klicken Sie auf OK.

Wenn Sie die automatische Verarbeitungsmethode für die Datenbank "Zertifikatsanforderungen" gewählt haben, fahren Sie mit Schritt 5 fort. Wenn Sie die manuelle Methode gewählt haben, fahren Sie mit den Schritten 4 bis 6 fort.

4. Führen Sie folgende Schritte aus, um die Zertifikatsanforderung an die Datenbank "Administrationsanforderungen" zu übertragen:

Öffnen Sie in der Datenbank "Zertifikatsanforderungen" die Ansicht

Submitted/Waiting for Approval

. Wenn die Anforderung nicht angezeigt wird, drücken Sie F9, um die Ansicht zu aktualisieren.

b. Wenn der Anforderungsstatus Submitted to Administration Process (An Administrationsprozess übergeben) lautet, fahren Sie mit Schritt 5 fort. Wenn die Anforderung noch aussteht (Pending), heben Sie die Anforderung hervor und klicken Sie auf Submit Selected Requests.

c. Wenn die Nachricht Successfully submitted 1 request(s) to the Administration Process angezeigt wird, klicken Sie auf OK.

5. Lassen Sie die Anforderung durch eine berechtigte Registrierungsstelle bestätigen. Diese Registrierungsstelle sollte für den Zertifizierer berechtigt sein, für den Sie SSL einrichten.

Öffnen Sie die Datenbank "Administrationsanforderungen" (

Admin4.nsf

), und anschließend die Ansicht

Zertifizierungsstellenanforderungen/Zertifikatsanforderungen

und suchen Sie die neue Anforderung.

b. Öffnen Sie die Anforderung und überprüfen Sie die darin enthaltenen Informationen.

c. Klicken Sie auf Anforderung bearbeiten und anschließend auf Anforderung bestätigen. Drücken Sie so lange F9, bis die Anforderung zu Ausgestellt wechselt.

6. Übertragen Sie die Zertifikatsanforderung aus der Datenbank "Administrationsanforderungen":

Schließen Sie die Datenbank "Administrationsanforderungen" und kehren Sie zur Datenbank "Zertifikatsanforderungen" zurück.

b. Öffnen Sie die Ansicht Pending/Submitted Certificates und suchen Sie die Anforderung. Aktualisieren Sie ggf. die Ansicht.

c. Wenn das Zertifikat noch nicht ausgestellt wurde, klicken Sie auf Pull Selected Request(s).

7. Nachdem die Zertifizierungsstelle die Anforderung für ein Serverzertifikat signiert und Sie benachrichtigt hat, dass Sie das Zertifikat entgegennehmen können, gehen Sie wie folgt vor:

Führen Sie eine der folgenden Anweisungen aus:

Öffnen Sie die Maildatei des Administrators, suchen und öffnen Sie die Nachricht mit dem Betreff Your certificate request has been approved (Ihre Zertifikatsanforderung wurde genehmigt) und kopieren Sie die Pickup-ID in die Zwischenablage.
Öffnen Sie in der Datenbank "Certificate Requests" die Ansicht Submitted/Accepted, öffnen Sie dann die ausgestellte Serveranforderung und kopieren Sie die Anforderungs-ID in die Zwischenablage.

Wählen Sie in der Datenbank "Zertifikatsanforderungen" die Optionen

Domino Key Ring Management

und

Pickup Key Ring Certificate

aus.

c. Geben Sie den Namen und das Kennwort der Schlüsselringdatei ein, fügen Sie die Pickup-ID in die Maske ein und klicken Sie auf Pickup Certificate.

8. Führen Sie folgende Schritte aus, um das bestätigte Serverzertifikat in die Schlüsselringdatei aufzunehmen:

Wenn das Dialogfeld zur Bestätigung der Aufnahme signierter Zertifikate angezeigt wird, überprüfen Sie die Informationen und klicken Sie auf

b. Wenn das Dialogfeld Certificate received into key ring angezeigt wird, klicken Sie auf OK.

c. Übertragen Sie die neue Schlüsselringdatei und die zugeordnete sth-Datei mittels Kopieren oder FTP (im Binärmodus) an das Datenverzeichnis des Servers.

9. Konfigurieren Sie den Port für SSL:

Öffnen Sie im Domino-Verzeichnis das Serverdokument. Klicken Sie im Abschnitt

Ports/Internet-Ports

auf

Server bearbeiten

und geben Sie den Namen der neuen Schlüsselringdatei ein. (Geben Sie nicht den vollständigen Pfad zur Schlüsselringdatei an. Geben Sie lediglich den Dateinamen an.) Aktivieren Sie das Feld

SSL-Portstatus

und klicken Sie auf

Speichern und schließen

Anmerkung:

Bei der Bearbeitung des Serverdokuments können Sie auch die Option

Sitzungsauthentifizierung

im Abschnitt

Internetprotokolle/Domino-Web-Server

aktivieren. Dadurch wird sichergestellt, dass HTTP-Sitzungen nach der im Feld

Zeitlimit für inaktive Sitzungen

angegebenen Anzahl von Minuten ablaufen. Zudem kann die "Maximale Anzahl aktiver Sitzungen" angegeben werden.

Wenn HTTP bereits ausgeführt wird, geben Sie an der Konsole te http restart ein, um SSL auf dem Server zu aktivieren.

c. Um den SSL-Status anzuzeigen und um zu überprüfen, ob der Server auf Port 80 und 443 auf Anfragen wartet, geben Sie an der Serverkonsole te http show security ein.

10. Führen Sie folgende Schritte aus, um zu bestätigen, dass SSL auf dem Server ausgeführt wird.

Öffnen Sie einen Browser und geben Sie die URL des Servers ein, zum Beispiel:

https://

Server

.

Firme.com

/certreq.nsf

Wenn das Dialogfeld "New Site Certificate" angezeigt wird, klicken Sie auf

Next

c. Klicken Sie auf Mehr Infos, um die Informationen zu überprüfen und klicken Sie anschließend auf Next.

d. Entscheiden Sie, ob und wie lange Sie das neue Sitezertifikat akzeptieren möchten und klicken Sie anschließend auf Next.

e. Entscheiden Sie, ob Sie jedes Mal, wenn Sie auf die neue Site zugreifen, eine Warnung sehen möchten und klicken Sie anschließend auf Next. Wenn das Dialogfeld angezeigt wird, klicken Sie auf Finish.

Ergebnisse

Wenn der Sicherheitsindikator (ein Vorhängeschlosssymbol) geschlossen (d. h. gesperrt) ist, haben Sie erfolgreich eine sichere Sitzung über SSL eingerichtet.

Zugehörige Tasks
SSL auf einem Domino-Server einrichten

Zugehörige Informationen
Eine Domino 5 Zertifizierungsstelle einrichten

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe