Warum und wann dieser Vorgang ausgeführt wird

Signieren Sie Ihre Funktionen und Plug-ins, um die Installation bzw. die Implementierung zu vereinfachen.

ACHTUNG: Das Notes-Installationsprogramm setzt voraus, dass alle Funktionen und Plug-ins im Installationskit signiert und mit einer Zeitmarke versehen sind.

Signieren Sie neue Funktionen und Plug-ins in Vorbereitung für die Installation und Aktualisierung, indem Sie ein Codesignierungszertifikat verwenden, das Sie von einer Zertifizierungsstelle erhalten haben. Nachdem die Funktionen ordnungsgemäß signiert wurden und sich im Installationskit befinden, können sie installiert werden, wenn das Codesignierungszertifikat im Schlüsselspeicher des Kits enthalten ist. Falls das Codesignierungszertifikat nicht vertrauenswürdig ist, können Sie die Überprüfungsrichtlinie für die Installationssignatur ändern, um die Installation von signierten, aber nicht vertrauenswürdigen Inhalten zuzulassen.

Anmerkung: Funktionen und Plug-ins, die im Rahmen von Notes-Installationen oder -Upgrades installiert werden, müssen signiert sein. Funktionen und Plug-ins, die, beispielsweise mit einem Widget, in eine bestehende Notes-Installation implementiert werden, sollten von einem vertrauenswürdigen Zertifizierer signiert sein.

Administrative Vertrauensvorgaben können mithilfe von Domino-Richtlinieneinstellungen im Abschnitt Administrative Vertrauensvorgaben des Registers Schlüssel und Zertifikate des Sicherheitsrichtliniendokument im Push-Verfahren an Clients übertragen werden. Verwenden Sie diese Richtlinienoption, um spezielle administrative Vertrauensvorgaben anzugeben, die im Rahmen von Notes-Installationen oder -Upgrades oder bei der Bereitstellung von Client-Plug-ins für eine bestehende Notes-Installation verwendet werden.

Anmerkung: Es besteht die Möglichkeit, Zeitstempel-Zertifikate zu signierten Plug-ins hinzuzufügen, um die langfristige Gültigkeit der Plug-in-Signaturen sicherzustellen. Mithilfe von Sicherheitsrichtlinieneinstellungen kann das Ablaufdatum der Zeitstempel-Zertifikate ignoriert werden, das zum Zeitpunkt der Signierung des Plug-ins gültig war. Auf diese Weise werden die Benutzer nicht durch abgelaufene Zeitstempel-Zertifikate an der Verwendung oder Installation der signierten Plug-ins gehindert. Informationen zum Erstellen eines Einstellungsdokuments für Sicherheitsrichtlinien finden Sie unter den verwandten Themen.

Das Signieren Ihrer benutzerdefinierten oder Fremdanbieter-Funktionen und -Plug-ins bewirkt Folgendes:

• Ermöglicht Ihnen, die Richtlinieneinstellungen vorzugeben, um zu festzulegen, welche Art von signierten/nicht signierten Inhalten von einer zugelassenen Eclipse-Aktualisierungssite heruntergeladen werden können
• Ermöglicht es Ihnen, die Funktion im Rahmen von Notes-Installationen oder -Upgrades zu installieren
• Verhindert, dass Benutzer gefragt werden, ob sie die bereitgestellten Funktionen oder Plug-ins als vertrauenswürdig einstufen
• Ermöglicht es Ihnen, die zur Installations- oder Aktualisierungszeit vom Signaturüberprüfungscode verwendete Vorgaberichtlinie mithilfe einer administrativen Domino-Richtlinie oder durch das Festlegen von Vorgaben in der Datei PLUGIN_CUSTOMIZATION.INI im Installationskit zu ändern
• Ermöglicht Benutzern, je nach Administratoreinstellungen Vertrauensentscheidungen basierend auf den Zertifikatsdetails zu treffen

Funktionen werden während der Installations- und Aktualisierungsbereitstellung auf Vertrauenswürdigkeit geprüft. Wenn Notes bereits installiert ist, werden die Funktionen während der Laufzeitbereitstellung geprüft.

• Installations- und Aktualisierungsbereitstellung

  Neue oder aktualisierte Funktionen werden vom Notes-Installationsprogramm von der Installationskit-Aktualisierungssite (UPDATESITE.ZIP) installiert und erstmalig bereitgestellt. Während dieser Erstbereitstellung basiert die Vertrauenswürdigkeit auf der Java-Schlüsselspeicherdatei im Verzeichnis deploy des Notes-Installationskits. Es gibt bei der Installation von Notes keine Benutzerschnittstelle für Vertrauensabfragen. Alle zu installierenden Funktionen müssen von einem vertrauenswürdigen Unterzeichner signiert sein.

  Anmerkung: Wenn Sie eine Installation auf der Basis des Notes-Client-Kits ausführen, wird der Java-Schlüsselspeicher in das Verzeichnis "notes\framework\rcp\deploy\.keystore.JCEKS.IBM_J9_VM.install" kopiert. Dieser Schlüsselspeicher enthält das IBM® Codesignierzertifikat, das während der Installation verwendet wird.

  Die Elemente in der Aktualisierungssite-ZIP-Datei (updateSite.zip) des Notes-Installationskits müssen signiert sein, was auch JAR-Dateien für benutzerdefinierte und Fremdanbieterfunktionen und Plug-ins einschließt. Der Bereitstellungsvorgang versucht, die Signatur zu bestätigen. Dies ermöglicht Administratoren und Benutzern, den auf den Client heruntergeladenen signierten Code zu kontrollieren und zu validieren.

• Bereitstellung zur Laufzeit

  Wenn Notes ausgeführt wird, kann die Bereitstellung manuell vom Benutzer oder programmgesteuert auf der Basis eines Planungsmechanismus oder eines anderen Bereitstellungsmechanismus initiiert werden (wie beispielsweise bei der Widgetbereitstellung). Während der Laufzeitbereitstellung bestimmt eine Kombination aus Notes-Schlüsselspeicher und dem persönlichen Namens- und Adressbuch (NAB) des Benutzers die Vertrauenswürdigkeit der bereitgestellten Funktionen und Plug-ins.

  Anmerkung: Wenn Sie eine Installation mit dem Notes-Client-Kit ausführen, wird der Java-Schlüsselspeicher in das Verzeichnis "notes\framework\rcp\deploy\.keystore.JCEKS.IBM_J9_VM.install" (auf der Mac OS X-Plattform in das Verzeichnis ".keystore.JCEKS.Java_HotSpot_Client_VM.install") kopiert. Dieser Schlüsselspeicher enthält das IBM Codesignierzertifikat, das während der Installation verwendet wurde. Während der Laufzeitbereitstellung verwendet Notes jedoch einen zusätzlichen Truststore in der Anwendung "Kontakte" des Benutzers (names.nsf). Die Ansicht "Erweitert/Zertifikat" der Anwendung "Kontakte" des Benutzers enthält Zertifikate, die bei der Laufzeitbereitstellung die Vertrauenswürdigkeit ermitteln. Vertrauenswürdige Zertifikate können über den Abschnitt für administrative Vertrauensvorgaben der Sicherheitsrichtlinie in die Ansicht "Erweitert/Zertifikate" der Anwendung "Kontakte" kopiert werden. Alternativ dazu kann der Benutzer bei der Bereitstellung die Option Dieses Plug-in installieren und den Unterzeichner zu meiner Liste anerkannter Unterzeichner hinzufügen auswählen. Im Idealfall sollten die Vertrauenseinstellungen so konfiguriert werden, dass den Benutzern keine Vertrauensabfragen gestellt werden. Sie können anerkannte Zertifikate im Push-Verfahren in die Anwendung "Kontakte" des Benutzers übertragen. Hierzu können Sie eine Richtlinie oder alternativ die Datei "deploy.nsf" verwenden, wenn Sie dies anstelle einer Richtlinie bevorzugen, sodass die zu implementierenden Funktionen und Plug-ins installiert werden, ohne dass Vertrauensabfragen angezeigt werden.

  Anmerkung: Informationen zum Anpassen eines Installationskits für Vertrauensvorgaben finden Sie unter den verwandten Themen.

  Falls Sie die zu installierenden oder zu aktualisierenden Funktionen digital signiert haben, macht das Bereitstellungssystem Folgendes:

  • Zeigt Fehler zu nicht vertrauenswürdigen Inhalten als Zusammenfassung nach der Installation an
  • Bietet eine konsistente Benutzerschnittstelle für die Verarbeitung von vertrauenswürdigen und nicht vertrauenswürdigen Inhalten während der auf Richtlinieneinstellungen basierenden Laufzeitbereitstellung
  • Trifft Vertrauensentscheidungen basierend auf verwalteten Richtlinieneinstellungen, sodass Sie Vorgabeeinstellungen aufheben und Richtlinieneinstellungen von einem Server aus verwalten können

• Verwenden Sie Domino Administrator, um mithilfe der Seite Sicherheitseinstellungen -> Signierte Plug-ins die standardmäßigen Signaturüberprüfungsrichtlinien festzulegen, die vom Notes-Client verwendet werden sollen.

  Anmerkung: Die Domino-Richtlinie hat Vorrang vor den Einstellungen in der Datei deploy\plugin_customization.ini des Installationskits. Die Domino-Richtlinie hat keine Auswirkungen auf die Erstinstallation.

• Wenn Sie deploy.nsf auf dem Notes-Client verwenden, um die Vertrauenswürdigkeit festzulegen, liest Notes diese Anwendung beim Start ein, um die Vertrauenseinstellungen für die Sitzung zu bestimmen. Wenn Sie jedoch das Register "Schlüssel und Zertifikate" im Dialogfeld "Sicherheitsrichtlinie" verwendet haben, um administrative Vertrauensvorgaben im Push-Verfahren zu übertragen, werden diese Einstellungen verwendet und die benutzerspezifische Datei deploy.nsf wird ignoriert.
• Stellen Sie Benutzern das Installationskit bereit, einschließlich des Schlüsselspeichers, den Sie im Freigabeverzeichnis des Installationskits aktualisiert haben.

Neue Funktionen signieren und zum Installationskit hinzufügen

Warum und wann dieser Vorgang ausgeführt wird

Mit dem folgenden Verfahren können Sie die JAR-Dateien für neue benutzerdefinierte oder Fremdanbieterfunktionen und Plug-ins signieren und die Funktion zum Notes-Installationskit hinzufügen.

Hierfür wird vorausgesetzt, dass Sie die JAR-Dateien für neue benutzerdefinierte oder Fremdanbieterfunktionen zur Verwendung in einer Eclipse-Aktualisierungssite erstellt oder erhalten haben. Verwenden Sie das JarSigner-Werkzeug der JRE, Eclipse oder ein anderes Fremdanbieterwerkzeug. Informationen zum Erstellen gültiger Funktionen und Plug-ins finden Sie im Lotus Expeditor-Wiki.

Prozedur

1. Legen Sie die Verzeichnisumgebungsvariable JAVA_HOME auf den Systemen, auf denen Sie Notes installieren, so fest, dass sie auf den JDK-Ordner verweist, in dem sich das Dienstprogramm "keytool" befindet. In der folgenden Beispielbefehlszeile befindet sich das benötigte bin\keytool im angegebenen Verzeichnis der JAVA_HOME-Variable.

set JAVA_HOME=C:\sign-plugin\abx\java\jdk1.5.0_05

%JAVA_HOME%\bin\keytool -genkey -dname "cn=Bob, ou=Sales, o=foo, c=US" -alias Eclipse-Funktionen-Alias -keypass Kennwort_privater_Schlüssel -keystore C:\sign-plugin\abx\mykeystore -storepass Kennwort_Schlüsselspeicher -keyalg "RSA" -validity360

%JAVA_HOME%\bin\keytool -list -v -alias Eclipse-Funktionen-Alias -keystore C:\sign-plugin\abx\mykeystore -storepass Kennwort_Schlüsselspeicher 

%JAVA_HOME%\bin\jarsigner -verbose -keystore C:\sign-plugin\abx\mykeystore -storepass Kennwort_Schlüsselspeicher -keypass Kennwort_privater_Schlüssel C:\sign-plugin\abx\mytestUpdatesite\features\com.ibm.sign.demo.feature_1.0.0.jar Eclipse-Funktionen-Alias 

%JAVA_HOME%\bin\jarsigner -verbose -keystore C:\sign-plugin\abx\mykeystore-storepass Kennwort_Schlüsselspeicher -keypass Kennwort_privater_Schlüssel C:\sign-plugin\abx\mytestUpdatesite\plugins\com.ibm.sign.demo_1.0.0.jar Eclipse-Funktionen-Alias

<?xml version="1.0" encoding="ISO-8859-1"?>

<ibm-portal-composite>

<domain-object name="com.ibm.rcp.installmanifest">

<object-data>

    <install version="8.0.0.20081211.1925">

<!-- add this sample installfeature snippet to the end of the manifest,before the </install> line -->

<installfeature default="false" description="My hello world feature"id="test" name="Test" required="false" show="true" version="1.0.0">

        <requirements>

                         <feature download-size="222"

id="com.ibm.sign.demo.feature" match="perfect" shared="true" size="199"url="jar:${installer.root}/updateSite.zip!/" version="1.0.0"/>

         </requirements>

 </installfeature>

 <!-- end of addition -->

    </install>

</object-data>

</domain-object>

</ibm-portal-composite>

Anmerkung: Dieser Schritt wird auch in den Abschnitten zu den beiden Themen Notes-Installationskit zum Hinzufügen oder Entfernen von Eclipse-Funktionen anpassen und Neue Funktionen über bereitgestelltes Tool zum Notes-Installationskit hinzufügen beschrieben.

a. Extrahieren Sie die Datei updatesite.zip des Notes-Installationskits in den Ordner C:\updatesite. Die ZIP-Datei enthält einen Funktions-Ordner, einen Plug-in-Ordner und eine site.xml-Datei.

b. Kopieren Sie die JAR-Dateien der signierten Funktionen und Plug-ins in den entsprechenden entpackten Funktions- bzw. Plug-in-Ordner der Aktualisierungssite.

c. Aktualisieren Sie die entpackte site.xml-Datei der Aktualisierungssite, um die neuen Funktionen zu übernehmen. Es folgt ein Beispieleintrag:


<feature url="features/com.ibm.sign.demo.feature_1.0.0.jar"id="com.ibm.sign.demo.feature" version="1.0.0"/>

d. Komprimieren Sie den geänderten Ordner "updatesite".

e. Kopieren Sie die geänderte Version der Datei updatesite.zip in das Notes-Installationskit, um die ursprünglich bereitgestellte Version von updatesite.zip durch die von Ihnen geänderte Version zu ersetzen.

%JAVA_HOME%\bin\keytool -export -alias Eclipse-Funktionen-Alias -file EclipseFeaturesAlias.cer -keystore C:\sign-plugin\abx\mykeystore -storepass Kennwort_Schlüsselspeicher

%JAVA_HOME%\bin\keytool.exe -import -keystore C:\sign-plugin\abx\AllClient.msi.w32\deploy\.keystore.JCEKS.IBM_J9_VM.install -storetype JCEKS -alias Eclipse-Funktionen-Alias -file EclipseFeaturesAlias.cer -storepass ""

%JAVA_HOME%\bin\keytool.exe -list -v -keystore C:\sign-plugin\abx\AllClient.msi.w32\deploy\.keystore.JCEKS.IBM_J9_VM.install -storetype JCEKS -alias Eclipse-Funktionen-Alias -storepass ""

Zugehörige Tasks
Notes-Installationskit anpassen, um Zertifizierer- und Vertrauensvorgaben festzulegen
Einstellungsdokument für Sicherheitsrichtlinien
Komponenten mit "UpdateSiteMgr" zum Notes-Installationskit hinzufügen und daraus entfernen
Client-Plug-ins mithilfe von Widgets und dem Widgetkatalog bereitstellen

Zugehörige Informationen
Zertifikat mit keytool.exe zur Datei mit dem Lotus Notes 8-Installationsmedienkit hinzufügen
Benutzerdefinierte oder Fremdanbieterfunktionen und Plug-ins ordnungsgemäß signieren, damit Notes-Benutzer während der Installation nicht zur Angabe der Vertrauenswürdigkeit aufgefordert werden

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe