前言

随着SHA1算法在2016年12月31日以后,将被强制淘汰,所有新的SSL证书都必须支持SHA256算法,所以我们必须将IBM Domino Server升级到9.0以上才可以支持SHA256算法。同时,以前用来生成Kyr文件的iKeyman5 已经无法再为SHA256的证书服务了,IBM随同Domino 9发布了一个Kyrtool的命令行工具。我们在Domino 9 下必须使用这个工具来完成证书格式的转换。

查找中间证书

为了确保兼容到所有浏览器,我们必须在阿里云上部署中间证书,如果不部署证书,虽然安装过程可以完全也不会报错,但可能导致Android系统,Chrome 和 Firefox等浏览器无法识别。请到 中间证书下载工具,输入您的Server.cer,然后下载中间证书,请将中间证书保存为Chain.cer,请见根证书保存为Root.cer。

安装kyrtool工具

首先请在一台已经安装IBM DOMINO 9 的电脑上下载:kyrtool 1.1工具
解压文件(kyrtool.exe)到c:\program files\ibm\domino ,即可准备使用。

制作Kyr文件

1、先生成一个新的kyr文件

 kyrtool =notes.ini create -k server.kyr -p password

(请在命令行,c:\program files\ibm\domino目录下运行,产生的server.kyr文件在c:\program files\ibm\domino\data目录下)
2、将前面准备好的证书私钥,服务器证书,中间证书,根证书复制到一个文件server.cer,顺序如下:

第一段:私钥

-----BEGIN RSA PRIVATE KEY-----

MIIEpAIBAAKCAQEAmEodTcl16P01GbWg2Dr+1FR6Q4D85283ROi7U+eMi6Ex8fF+

IhtB9edaOfywKPgdw1rgCxOIh6kHiiqvZvRvIEacFu0qqBTJeyPmeg==

-----END RSA PRIVATE KEY-----

第二段:服务器证书

-----BEGIN CERTIFICATE-----

MIIGGzCCBQOgAwIBAgIQP3zt9jHcE2Eo63f6I16j+DANBgkqhkiG9w0BAQsFADBE

bcRr/RLp0ziC56tOErlDGmaj1wytlTwSxdG86YinsA==

-----END CERTIFICATE-----

第三段:中间证书

-----BEGIN CERTIFICATE-----

MIIETzCCAzegAwIBAgIDAjpvMA0GCSqGSIb3DQEBCwUAMEIxCzAJBgNVBAYTAlVT

QNaFHlHpURceA1bJ8TCt55sRornQMYGbaLHZ6PPmlH7HrhMvh+3QJbBo+d4IWvMp

zNSS

-----END CERTIFICATE-----

第四段:根证书

-----BEGIN CERTIFICATE-----

MIIDVDCCAjygAwIBAgIDAjRWMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT

5fEWCRE11azbJHFwLJhWC9kXtNHjUStedejV0NxPNO3CBWaAocvmMw==

-----END CERTIFICATE-----

3、检验这个文件 (用命令行,cd到domino目录下,kyr文件在.\data\目录下)

 kyrtool =notes.ini verify .\data\server.cer

	KyrTool v1.1

Successfully read 2048 bit RSA private key

INFO: Successfully read 3 certificates

INFO: Private key matches leaf certificate

INFO: IssuerName of cert 0 matches the SubjectName of cert 1

INFO: IssuerName of cert 1 matches the SubjectName of cert 2

INFO: Final certificate in chain is self-signed

4、 导入这个server.cer到 kyr文件

kyrtool =notes.ini import all -k server.kyr -i .\data\server.cekeytr

5、 检查这个server.kyr文件

  kyrtool =notes.ini show keys -k server.kyr

  kyrtool =notes.ini show certs -k server.kyr

部署Kyr文件到Domino Server

1、将本地SSL密钥环文件(.kyr和.sth 2个文件)复制或FTP到Domino服务器的数据目录中。

2、对SSL密钥环文件设置相应的权限,以确保Domino服务器可以访问文件。 对于Windows,通常在将文件复制/粘贴到服务器时自动设置适当的权限。 对于IBMi / OS400,文件所有者应设置为QNOTES。 对于UNIX,将文件权限设置为拥有所有Domino服务器文件的相同所属标识。

3、更新服务器文档以使用适用于Web服务器配置的适当方法开始使用新的SSL密钥环文件。 (要确认您是否使用Internet Site documents,请打开服务器文档到Basic选项卡,并验证字段“Load Internet configurations from Server\Internet Sites documents”的值,如果这里为启用,您正在使用Internet站点文档,这些文档位于“ Configuration - Web - Internet - Sites”下的Domino目录中。

a、 如果你不使用Internet Site documents,在服务器文档中进入“Ports -> Internet Ports”。 在“SSL key file name”字段中输入Kyr文件名。

b、如果您使用的是Internet Site documents ,找到需要创建SSL Kyr文件的internet Site documnets,然后选择“Security"”选项卡,并将“Key file name”内容更新为已经创建好的Kyr文件(Server.kyr)。

4、确保服务器的SSL端口状态在“Ports -> Internet Ports -> Web”设置为“已启用”。

5、通过在Domino服务器控制台上发出命令“tell http restart”重新启动HTTP任务。 如果其他任务需要使用密钥环,请重新启动这些任务。

FYI: https://www.myssl.cn/home/article-0403-41.html

最新文章

  1. constructor(构造器)
  2. Linux 获取文件时间信息 判断文件是否存在
  3. 李洪强iOS开发之【零基础学习iOS开发】【02-C语言】06-变量与内存
  4. POJ 2375 Cow Ski Area[连通分量]
  5. 关于socket的关闭:close和shutdown
  6. cocos2dx的发展的例子2048(加入动画版)
  7. [Luogu 3389]【模板】高斯消元法
  8. Jenkins实践之入门体验
  9. Centos 7下下载和安装docker
  10. 洛谷P1173 [NOI2016]网格
  11. vue学习之template标签
  12. JDK Timer & TimerTask
  13. shiro实战系列(十二)之常用专业术语
  14. RequireJS 学习
  15. 腾讯云 利用php + apache + mysql 搭建服务器环境
  16. open方法读写文件
  17. Thunder团队——选题展示
  18. em和px的区别一次彻底搞清楚!
  19. apk比较版本大小
  20. 程序在Linux下前后台切换

热门文章

  1. 【西北师大-2108Java】第二次作业成绩汇总
  2. IntelliJ IDEA 创建动态的JavaWeb工程(五)
  3. luoguP4770 [NOI2018]你的名字
  4. python中实现单例模式
  5. Vue todos示例 在class中的应用表达式
  6. 如果对象的引用被置为null,;垃圾回收器是否会立即释放对象占用的内存?
  7. OC 字典dictionaryWithObjectsAndKeys报错
  8. axios 源码解析(中) 代码结构
  9. 移动端BUG
  10. 对try catch finally的理解