Warum und wann dieser Vorgang ausgeführt wird

Wenn Sie eine Serverschlüsselringdatei (.KYR) erstellen, generiert IBM® Domino ein nicht signiertes Serverzertifikat und nimmt automatisch verschiedene Wurzelinstanzzertifikate auf. Das nicht signierte Serverzertifikat ist erst gültig, wenn es von einem Zertifizierer signiert wurde. Domino erstellt zudem eine Stash-Datei (.STH) unter Verwendung desselben Namens der Schlüsselringdatei, jedoch mit der Dateierweiterung .STH. Domino speichert das Kennwort der Schlüsselringdatei in der Stash-Datei für unbeaufsichtigten Zugriff auf die Schlüsselringdatei des Servers.

Alle Serverzertifikate beinhalten einen eindeutigen Namen, der für SSL-Verbindungen verwendet wird. Sie legen diesen eindeutigen Namen fest, wenn Sie die Serverschlüsselringdatei erstellen. Einige Komponenten eines eindeutigen Namens sind optional. Je mehr Komponenten Sie jedoch aufnehmen, desto geringer wird die Wahrscheinlichkeit, einen identischen Namen an einer anderen Stelle im Internet zu finden.

Anmerkung: Wenn Sie ein Serverzertifikat von einer serverbasierten CA anfordern, können Sie mithilfe des IBM Notes-Clients den Serverschlüsselring erstellen und ein Serverzertifikat in der Datenbank "Certificate Requests" anfordern.

So erstellen Sie eine Serverschlüsselringdatei

Prozedur

1. Richten Sie die Anwendung "Server Certificate Admin" ein.

2. Öffnen Sie im Notes-Client die Anwendung "Server Certificate Admin" auf dem Server, für den Sie SSL aktivieren möchten.

3. Klicken Sie auf Create Key Ring.

4. Nehmen Sie Eingaben in den folgenden Feldern vor:

Tabelle 1. Felder für Schlüsselringdateien

Feld	Aktion
Key Ring File Name	Geben Sie den Namen der Schlüsselringdatei ein. Die Vorgabe lautet KEYFILE.KYR. Es ist hilfreich, die Erweiterung .KYR zu verwenden, um über konsistente Schlüsselringdateinamen zu verfügen. Anmerkung: Der Name der Serverschlüsselringdatei wird in allen Internet-Site-Dokumenten angezeigt, die Sie konfiguriert haben, oder im Register Ports -> Internet-Ports des Serverdokuments, falls keine Internet-Site-Dokumente verwendet werden. Wenn Sie nicht den Standardnamen verwendet haben, müssen Sie den Namen an den entsprechenden Stellen bearbeiten, d. h. in den Internet-Site-Dokumenten oder im Serverdokument.
Key Ring Password	Geben Sie das Kennwort für die Schlüsselringdatei ein.
Key Size	Geben Sie die Schlüsselgröße an, die Domino zur Erstellung der öffentlichen und privaten Schlüsselpaare verwendet. Je länger der Schlüssel, desto höher ist die Verschlüsselung.
Common name	Geben Sie den vollständig qualifizierten TCP/IP-Domänennamen des Servers ein, beispielsweise "www.renovations.com". Richten Sie das Serverzertifikat so ein, dass der allgemeine Name mit dem Hostnamen übereinstimmt, da bestimmte Browser prüfen, ob diese Namen übereinstimmen, bevor sie eine Verbindung zulassen.
Organization	Geben Sie den Namen der Organisation ein, beispielsweise den Namen eines Unternehmens wie "Renovations".
Organizational Unit	Geben Sie den Namen des Bereichs oder der Abteilung des Zertifizierers ein.
City or Locality	Geben Sie den Standort der Organisation ein.
State or Province	Geben Sie den vollständigen Namen des Bundeslands ein, in dem sich die Organisation des Zertifizierers befindet.
Country	Geben Sie die Abkürzung für das Land ein, in dem sich die Organisation befindet.

6. Klicken Sie auf OK, nachdem Sie die Informationen zur Schlüsselringdatei und den eindeutigen Namen gelesen haben. Notes erstellt die Schlüsselringdatei und die Stash-Datei (.STH) im Notes-Data-Verzeichnis auf dem Client-Computer, auf dem der Schlüsselring erstellt wird.

7. Kopieren Sie die Schlüsselringdatei und die Stash-Datei (.STH) in das Domino-Data-Verzeichnis auf dem Server.

ACHTUNG: Stellen Sie sicher, dass das Schlüsselringkennwort in der Stash-Datei geschützt ist. Das Kennwort der Schlüsselringdatei wird in der Stash-Datei geändert, sodass es von Unbefugten nicht erkannt werden kann, allerdings ist es nicht verschlüsselt. Gewähren Sie unbefugten Personen keinen Zugriff auf die Stash-Datei oder auf die Schlüsselringdatei. Im Normalfall sollte nur der Server selbst Zugriff auf diese Dateien haben. Manchmal benötigen jedoch auch Administratoren Zugriffsrechte zum Entfernen oder Ersetzen der Dateien. Genauso wie für alle Serverressourcen gilt auch hier, dass eine angemessene Verwaltung der Dateizugriffsrechte für die Systemsicherheit unerlässlich ist.

Zugehörige Konzepte
Informationen zu Internet-Site-Dokumenten auf Domino-Servern

Zugehörige Tasks
Die Serverzertifikatsadministration einrichten
SSL-Serverzertifikate anfordern
Vorgegebene Domino-SSL-Wurzelinstanzen
SSL auf einem Domino-Server einrichten

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe