Motivation

Wer schon länger eine Notes/Domino Umgebung betreibt, ist »damals« mit kleinen Schlüssellängen in den Zertifizierern als auch Server- und User-IDs gestartet (630 Bit), welche heute als unsicher gelten und schnellstmöglich ausgetauscht werden sollten. Sichere Schlüssel haben eine Länge von 2048 - 4096 Bit.

Der »Domino Certificate Authority Key Rollover« Prozess ermöglicht es einer Organisation, ihrer Domino-Zertifizierungsstelle sowie ihren Organisationseinheiten, Servern und Benutzern neue private und öffentliche Schlüssel zuzuweisen. Der Vorgang der Bereitstellung neuer privater und öffentlicher Schlüssel ist allgemein als »Key Rollover« bekannt und wird im weiteren Verlauf dieses Kurses als solcher bezeichnet.

Die primäre Zielsetzung dieses Kurses ist es, dir eine praxistaugliche Anleitung für die Durchführung eines Key Rollover in deiner eigenen Domino-Umgebung zu geben. Zusätzlich findest du auch einige Hintergrundinformationen zu den Zertifizierern sowie Server- und UserIDs, welche in der offiziellen Dokumentation von HCL zu diesem Thema nicht vorhanden oder schwer zu finden sind.

Dieser Kurs zeigt sehr ausführlich alle für einen Key Rollover erforderlichen Schritte. Dies soll auch Administratoren, welche sich im Bereich des Zertifikatsmanagements nicht so gut auskennen, eine fehlerfreie Umsetzung eines Key Rollover in Ihrer Domino-Umgebung ermöglichen.

Als Beispiel wird eine Notes/Domino Umgebung verwendet, welche mit 1024 Bit Schlüssellänge für private und öffentliche Schlüssel erstellt wurde. Die Schlüssel von Organisationen und Abteilungen sollen auf 4096 Bit und die Schlüssel von Server- und User-IDs auf 2048 Bit (Maximum bei Domino 12) erweitert werden.

Dieser Kurs wurde unter Nutzung der Notes/Domino Version 12.0.2 erstellt und mit dieser Version die einzelnen Schritte umgesetzt. Für ältere Versionen bis zurück zur Version 8.5 sollten die Schritte ähnlich verlaufen - das wurde aber nicht explizit verifiziert.