Motivation
Wer schon länger eine Notes/Domino Umgebung betreibt, ist »damals« mit kleinen Schlüssellängen in den Zertifizierern als auch Server- und User-IDs gestartet (630 Bit), welche heute als unsicher gelten und schnellstmöglich ausgetauscht werden sollten. Sichere Schlüssel haben eine Länge von 2048 - 4096 Bit.
Der »Domino Certificate Authority Key Rollover« Prozess ermöglicht es einer Organisation, ihrer Domino-Zertifizierungsstelle sowie ihren Organisationseinheiten, Servern und Benutzern neue private und öffentliche Schlüssel zuzuweisen. Der Vorgang der Bereitstellung neuer privater und öffentlicher Schlüssel ist allgemein als »Key Rollover« bekannt und wird im weiteren Verlauf dieses Kurses als solcher bezeichnet.
Die primäre Zielsetzung dieses Kurses ist es, dir eine praxistaugliche Anleitung für die Durchführung eines Key Rollover in deiner eigenen Domino-Umgebung zu geben. Zusätzlich findest du auch einige Hintergrundinformationen zu den Zertifizierern sowie Server- und UserIDs, welche in der offiziellen Dokumentation von HCL zu diesem Thema nicht vorhanden oder schwer zu finden sind.
Dieser Kurs zeigt sehr ausführlich alle für einen Key Rollover erforderlichen Schritte. Dies soll auch Administratoren, welche sich im Bereich des Zertifikatsmanagements nicht so gut auskennen, eine fehlerfreie Umsetzung eines Key Rollover in Ihrer Domino-Umgebung ermöglichen.
Als Beispiel wird eine Notes/Domino Umgebung verwendet, welche mit 1024 Bit Schlüssellänge für private und öffentliche Schlüssel erstellt wurde. Die Schlüssel von Organisationen und Abteilungen sollen auf 4096 Bit und die Schlüssel von Server- und User-IDs auf 2048 Bit (Maximum bei Domino 12) erweitert werden.
Hinweis SETUP_FIRST_SERVER_PUBLIC_KEY_WIDTH=1024 Dieser Eintrag muss nach der Installation und vor der Konfiguration des 1. Domino Servers der Testumgebung gesetzt werden. |
Dieser Kurs wurde unter Nutzung der Notes/Domino Version 12.0.2 erstellt und mit dieser Version die einzelnen Schritte umgesetzt. Für ältere Versionen bis zurück zur Version 8.5 sollten die Schritte ähnlich verlaufen - das wurde aber nicht explizit verifiziert.
Wichtig Die gesamte Dokumentation bezieht sich ausschließlich auf die Nutzung von Zulassungsstellen-, Server- und User-ID Dateien. Ein Key Rollover bei Nutzung des Domino CA-Prozesses wird nicht besprochen. |
Wichtig: Immer zuerst ein Key Rollover für Server, dann für Anwender Gratis
Schlüsselüberprüfung im Serverdokument deaktivieren!3 m 2 s
ID Vault - warum ist der wichtig? Gratis
Keinen ID Vault im Einsatz? Sofort ändern!
Aktueller Stand des ID Vaults in der Kursumgebung3 m 22 s
notes.ini Parameter für den ID Vault
Durchführung des Key Rollovers8 m 20 s
Überprüfung der geänderten Schlüssellängen6 m 2 s
Alternative: Rezertifizierung einen Notes Anwenders6 m
Was passiert bei Anwendern ohne ID im ID Vault?9 m 15 s