Über den Kurs
Ein detaillierter Leitfaden für Domino Administratoren.
Geeignet für Domino Version 9.0.1 bis 14.x
Falls Dir der Kurs nützlich ist:
Was lerne ich in diesem Kurs?
- Was ist ein Key Rollover?
- Begriffsklärungen zum Key Rollover
- Voraussetzungen
- Auswirkungen
- Vollständige Durchführung eines Key Rollovers für Organisationen (O), Abteilungen (OUs), Server- und Anwender-IDs
- Optional: Einen neuen ID Vault erstellen
Welche Anforderungen oder Voraussetzungen gelten für diesen Kurs?
- Fundierte Kenntnisse in der Domino Administration (falls nicht vorhanden: HCL Domino Systemadministration 1)
- Falls Du die im Seminar gezeigten Schritte selbst umsetzen möchtest, ist Windows 10/11 Pro und die HCL Notes/Domino Software erforderlich
An wen richtet sich dieser Kurs?
- Personen, welche schon länger eine Notes/Domino Umgebung betreiben und daher mit kurzen, unsicheren Schlüssellängen arbeiten.
- Personen, welche die Schlüssel in Zertifizieren (Organisation und Abteilung) sowie in Server- oder Anwender-IDs auf heute übliche Schlüssellängen anheben möchten.
Passend zum Kurs: Mein Buch als gedruckte Ausgabe oder PDF-Datei
HCL Domino Certificates Key Rollover
1. Einführung
1.1. Herzlich Willkommen!
Ich freue mich, dass Du dich für meinen Kurs "HCL Domino Certificate Key Rollover" entschieden hast und heisse Dich herzlich Willkommen!
Da ich schon unzählige Seminare mit zwischenzeitlich über 1.000 Teilnehmer*Innen durchgeführt habe, bin ich mir ziemlich sicher, dass auch Dir dieser Kurs sehr nützlich sein wird.
Falls Du Fragen hast oder bestimmte Inhalte für Dich nicht verständlich sind, sende mir eine Mail an eLearning@madicon.de - ich werde schnellstmöglich antworten.
Nun wünsche ich Dir bei meinem Kurs ganz viel Freude und einen maximalen Lernerfolg!
Viele Grüße,
Manfred
Manfred
1.2. Was ist für die Durchführung dieses Kurses erforderlich?
Der Kurs soll als Workshop einen hohen Praxisbezug haben und daher werden wir alle für einen vollständigen Key Rollover erforderlichen Schritte in einer Notes/Domino Umgebung durchführen.
Normalerweise ist ein Domino Server laut HCL-Vorgaben auf einem Windows Server (oder einem der anderen möglichen Serverbetriebssystemen - z.B. Linux) zu installieren.
Da wir im Seminar lediglich eine "Spielumgebung" implementieren, eignet sich auch Windows 10/11 Pro sehr gut. Ausgestattet mit einer halbwegs aktuellen CPU und mit 3-4 GByte RAM werden alle im Kurs gezeigten Funktionen flüssig laufen.
Falls Du auch bei Dir eine "Spielumgebung" installieren möchtest, benötigst Du folgendes:
- Windows 10/11 Pro (das müssen keine physischen PC's sein - eine virtuelle Maschine ist auch geeignet)Einen Domino Server + Domino Administrator Client kann man auf einer Windows-Instanz installieren - falls es mehrere Domino Server werden sollen, gilt als Regel:
1 x Windows 10/11 Pro für jeden Domino Server
- Notes Client (inkl. Administrator) und Domino Server Version 9.0.1.x bis 14.x
Bevor jemand fragt: Notes und Domino sind kommerzielle Produkte der Firma HCL und können nicht "einfach so" irgendwo heruntergeladen werden.
Da Du aber vermutlich als Mitarbeiter eines Unternehmens an diesem Kurs teilnimmst (Notes/Domino wird kaum von Privatpersonen genutzt),sollte
die Software im Unternehmen verfügbar sein.
die Software im Unternehmen verfügbar sein.
2. Motivation und Kursumgebung
2.1. Motivation
Wer schon länger eine Notes/Domino Umgebung betreibt, ist »damals« mit kleinen Schlüssellängen in den Zertifizierern als auch Server- und User-IDs gestartet (630 Bit), welche heute als unsicher gelten und schnellstmöglich ausgetauscht werden sollten. Sichere Schlüssel haben eine Länge von 2048 - 4096 Bit.
Der »Domino Certificate Authority Key Rollover« Prozess ermöglicht es einer Organisation, ihrer Domino-Zertifizierungsstelle sowie ihren Organisationseinheiten, Servern und Benutzern neue private und öffentliche Schlüssel zuzuweisen. Der Vorgang der Bereitstellung neuer privater und öffentlicher Schlüssel ist allgemein als »Key Rollover« bekannt und wird im weiteren Verlauf dieses Kurses als solcher bezeichnet.
Die primäre Zielsetzung dieses Kurses ist es, dir eine praxistaugliche Anleitung für die Durchführung eines Key Rollover in deiner eigenen Domino-Umgebung zu geben. Zusätzlich findest du auch einige Hintergrundinformationen zu den Zertifizierern sowie Server- und UserIDs, welche in der offiziellen Dokumentation von HCL zu diesem Thema nicht vorhanden oder schwer zu finden sind.
Dieser Kurs zeigt sehr ausführlich alle für einen Key Rollover erforderlichen Schritte. Dies soll auch Administratoren, welche sich im Bereich des Zertifikatsmanagements nicht so gut auskennen, eine fehlerfreie Umsetzung eines Key Rollover in Ihrer Domino-Umgebung ermöglichen.
Als Beispiel wird eine Notes/Domino Umgebung verwendet, welche mit 1024 Bit Schlüssellänge für private und öffentliche Schlüssel erstellt wurde. Die Schlüssel von Organisationen und Abteilungen sollen auf 4096 Bit und die Schlüssel von Server- und User-IDs auf 2048 Bit (Maximum bei Domino 12) erweitert werden.
Hinweis
Falls du selbst in einer Testumgebung mit 1024 Bit Schlüssellänge starten möchtest, kannst du dies durch folgenden notes.ini Eintrag des Domino Servers erzwingen:
SETUP_FIRST_SERVER_PUBLIC_KEY_WIDTH=1024
Dieser Eintrag muss nach der Installation und vor der Konfiguration des 1. Domino Servers der Testumgebung gesetzt werden.
Dieser Kurs wurde unter Nutzung der Notes/Domino Version 12.0.2 erstellt und mit dieser Version die einzelnen Schritte umgesetzt. Für ältere Versionen bis zurück zur Version 8.5 sollten die Schritte ähnlich verlaufen - das wurde aber nicht explizit verifiziert.
Wichtig
Die gesamte Dokumentation bezieht sich ausschließlich auf die Nutzung von Zulassungsstellen-, Server- und User-ID Dateien. Ein Key Rollover bei Nutzung des Domino CA-Prozesses wird nicht besprochen.
2.2. Kursumgebung
2.3. Übersicht finale Kursumgebung
3. Begriffe und der Status Quo
3.1. Begriffe und Abkürzungen
In diesem Kurs werden die folgenden Begriffe und mögliche Abkürzungen verwendet.
- Domino Directory
Der offizielle Titel der names.nsf Datenbank in Ihrer Notes/Domino Umgebung.
- Domino Certificate Trust Hierarchy
Das Vertrauen auf der Zertifikatsebene reicht von der Zertifizierungsstelle der Organisation bis hin zum Zertifikat eines einzelnen Benutzers. Die Vertrauenswürdigkeit kann durch die Untersuchung der ID-Eigenschaften jeder Datei in der Hierarchie und den Vergleich der Kennungen der öffentlichen Schlüssel festgestellt werden.
- Organization Certifier (O)
Der erste Zertifizierer, der bei der Installation des ersten Domino Servers einer neuen Notes/Domino Umgebung erstellt wird und aus dem alle weiteren Zertifikate generiert werden.
- Organizational Unit (OU)
Zertifizierer, die in Domino erstellt werden können, um Server und Benutzer in logischen Unterabteilungen zu gruppieren, z. B. nach Abteilung oder geografischem Gebiet, und die die Hierarchie einer Organisation nachahmen.
- Key Rollover
Der Vorgang, bei dem einem Zertifizierer neue öffentliche und private Schlüssel zugewiesen werden, was häufig geschieht, um die Schlüsselstärke eines
Zertifizierers zu erhöhen. Key Rollover wird normalerweise von oben nach unten durchgeführt (wie dies auch in dieser Dokumentation gezeigt wird) , aber eine Firma kann sich auch dafür entscheiden, dies z.B. nur für ihre Anwender umzusetzen.
- Rollover Certificate
Zertifikat, das bei einem Rollover erstellt wird, um eine Verbindung zwischen dem alten und dem neuen öffentlichen Schlüsselsatz für ein Zertifikat herzustellen.
- Recertify
Die Verlängerung der ID eines Anwenders, um zu verhindern, dass sie abläuft.
- Certify
Der Vorgang des »Stempelns« einer physischen ID-Datei, die in der Regel zu einer OU oder einem Server gehört, um zu verhindern, dass die ID abläuft, oder um in einigen Fällen eine andere Sprache, einen alternativen Namen hinzuzufügen, oder um die Vertrauenshierarchie des Zertifikats wiederherzustellen.
3.2. Überprüfung der Zertifikate auf der Ebene: Organisation
3.3. Überprüfung der Zertifikate auf der Ebene: Abteilung
3.4. Überprüfung der Zertifikate eines Domino Servers
3.5. Überprüfung der Zertifikate eines Notes Anwenders
4. Key Rollover Einführung
4.1. Voraussetzungen
Damit du auf keine unvorhergesehenen Probleme stößt, solltest du die folgenden Punkte überprüfen und beachten.
- In nächster Zeit ablaufende O-, OU, User- oder Server-IDs
Falls bei dir in den nächsten Tagen irgendwelche IDs ablaufen, solltest du diese zunächst mit den noch nicht geänderten Zertifizierern verlängern. Ich persönlich empfehle eine Haltbarkeit von mindestens 60 Tagen.
- Alle Anwender Umbenennungen müssen abgeschlossen sein
Während ein Key Rollover ausgeführt wird, darf keine Umbenennung (das betrifft den Vor- und Nachname als auch ein Wechsel zu einem anderen Zertifizierer) ausgeführt oder gestartet werden. Stelle sicher, dass diese Vorgänge abgeschlossen sind, bevor du einen Key Rollover startest.
- ID Vault
Ein einwandfrei funktionierender ID Vault ist zumindest im Bezug auf den Key Rollover von User-IDs als Voraussetzung zu benennen. Wenn du keinen ID Vault nutzt oder dieser nicht alle aktiven User IDs gespeichert hat (also nicht richtig funktioniert), werden die Anwender am Notes Client diverse Dialoge sehen, welche sie möglicherweise nicht verstehen und sich dann beim IT-Support melden. Ein Anwender kann in diesen Dialogen den Key Rollover auch ablehnen! Weitere Infos dazu in einer späteren Lektion.
- Zeitnahe und fehlerfreie Replikation
Zusätzlich zu den Änderungen an den ID-Dateien selbst, werden auch die Zertifikatsinformationen in den Zertifikats-, Server- und Anwenderdokumenten geändert. Diese geänderten Dokumente müssen zeitnah zwischen allen Domino Servern repliziert werden!
- Einwandfreie Funktion der Domino Server
Wenn du an den Konsolen deiner Domino Server kritische Fehlermeldungen (warning low, warning high, failure oder fatal) siehst oder deine Domino Server »nicht richtig funktionieren«, solltest du diese Probleme zwingend vor der Durchführung eines Key Rollover beheben.
- Backup deiner Notes/Domino Umgebung
Nachdem du deinen Administrationsserver heruntergefahren hast, erstellst du über das Dateisystem Sicherungskopien der folgenden Dateien: - Domino Directory (names.nsf)
- Certification Log Datenbank (certlog.nsf)
- Alle ID-Dateien (Organisation, Abteilungen, Server)
- Alle Anwender ID-Dateien (vor allem die ID-Datei des Administrators)
- Nutzung des Administrationsserver für alle Aufgaben des Key Rollovers
Da alle Aktivitäten im Zusammenhang mit einem Key Rollover Änderungen im Domino Directory (names.nsf) auslösen und diese vom Administrationsserver durchgeführt werden, sollte immer der Administrationsserver als der aktuelle Domino Server im Domino Administrator ausgewählt sein.Alle anstehenden Aufgaben können so schneller umgesetzt werden, als wenn diese von einem anderen Domino Server erst zum Administrationsserver repliziert werden müssen.
4.2. Was gibt es nach einem Key Rollover zu beachten?
Wenn du einen Key Rollover planst, musst du dir darüber im Klaren sein, wie mit deinen Richtlinien, Agenten, der Ausführungskontrolllisten und - falls vorhanden - mit Gegenzertifikaten umgegangen werden soll.
Standardmäßig werden diese Elemente durch einen Zertifizierer, einen Benutzer oder in einigen Fällen durch eine Server-ID signiert. Beim Key Rollover der signierenden Entitäten führt Domino nicht automatisch einen Key Rollover mit dem neuen Schlüssel in diesen Elementen aus, sondern der Administrator muss diese Aktion manuell ausführen.
Agenten
Agenten müssen editiert und damit erneut signiert werden, sobald der ursprüngliche Unterzeichner seinen Key Rollover abgeschlossen hat. Wie bei allen anderen Entitäten hast du bis zum Ablauf des Rollover-Zertifikat Zeit, diese Maßnahmen durchzuführen.
Execution Contro Lists (ECL's)
Ausführungskontrolllisten (ECL’s) müssen editiert und damit erneut signiert werden, sobald der ursprüngliche Unterzeichner seinen Key Rollover abgeschlossen hat. Wie bei allen anderen Entitäten hast du bis zum Ablauf des Rollover-Zertifikat Zeit, diese Maßnahmen durchzuführen.
Gegenzertifikate
Wenn du einer anderen Organisation Zugriff auf deine Domäne gewährt hast, solltest du ihr eine neue sichere Kopie des entsprechenden Zertifizierers oder Server-ID zur Verfügung stellen, für diese der Key Rollover abgeschlossen ist.
Diese Organisation sollte dann ihr aktuelles Gegenzertifikat für ihre Organisation löschen und ein neues Gegenzertifikat aus der sicheren Kopie erstellen, die du ihr zur Verfügung gestellt hast.
Wenn die Endanwender der Organisation Kopien des Gegenzertifikats in ihrem lokalen Adressbuch gespeichert haben, müssen diese durch das neue Gegenzertifikat ersetzt werden.
Wenn du auf eine andere Organisation zugreifst, solltest du diese bitten, dir eine neue sichere Kopie der ID-Datei zu schicken, mit der du gegenzertifiziert bist. Sobald du diese erhalten hast, musst du das aktuelle Gegenzertifikat löschen und ein neues Gegenzertifikat mit der entsprechenden, verlängerten ID erstellen.
Wenn einer deiner Anwender eine Kopie des Gegenzertifikats in seinem lokalen Adressbuch hat, sollte die bestehende Kopie entfernt und durch ein neues
Gegenzertifikat ersetzt werden.
Gegenzertifikat ersetzt werden.
Wie bei allen anderen Entitäten hast du bis zum Ablauf des Rollover-Zertifikat Zeit, diese Maßnahmen durchzuführen.
Policies
Bei Richtlinien müssen die Richtlinie und das/die zugehörigen Einstellungsdokument(e) erneut signiert werden, sobald der ursprüngliche Unterzeichner seinen Key Rollover abgeschlossen hat.
Dies ist ein einfacher Prozess, bei dem das Dokument vom Unterzeichner in den Bearbeitungsmodus gebracht und dann gespeichert werden muss. Einige Kunden haben jedoch berichtet, dass sie eine kleine Änderung am Dokument vornehmen und dann die Änderung entfernen mussten, damit das Dokument korrekt signiert wird.
Wie bei allen anderen Entitäten hast du bis zum Ablauf des Rollover-Zertifikat Zeit, diese Maßnahmen durchzuführen.
Templates
Templates für Domino Anwendungen müssen erneut signiert werden, sobald der Unterzeichner seinen Key Rollover abgeschlossen hat.
Wie bei allen anderen Entitäten hast du bis zum Ablauf des Rollover-Zertifikat Zeit, diese Maßnahmen durchzuführen.
5. Key Rollover der Organisation (O)
6. Key Rollover der Abteilungen (OUs)
7. Key Rollover der Domino Server
7.1. Wichtig: Immer zuerst ein Key Rollover für Server, dann für Anwender
Du musst einen Key Rollover immer zuerst für alle Domino Server und erst danach für die Anwender durchführen.
Begründung
- Ein mit einer neu signierten Server-ID laufender Domino Server akzeptiert alte Signaturen von User-IDs, da er diese im Zertifiziererdokument im
Feld »RolloverCerts« (diese Feld ist nicht im geöffneten Zertifiziererdokument sichtbar, Du kannst es aber über die Dokumenteigenschaften anschauen) überprüfen kann.
- Eine mit einer neu signierten User-ID laufender Notes Client akzeptiert eine alte Signatur des Domino Servers nicht, da er sie nur mit seiner eigenen, neuen Signatur vergleichen kann. In dieser Konstellation ist also kein Zugriff des Clients auf den Domino Server möglich.
7.2. Durchführung des Key Rollovers
7.3. Überprüfung der geänderten Schlüssellängen
7.4. Alternative: Rezertifizierung eines Domino Servers
8. Key Rollover der Notes Anwender
8.1. Wichtig: Immer zuerst ein Key Rollover für Server, dann für Anwender
Du musst einen Key Rollover immer zuerst für alle Domino Server und erst danach für die Anwender durchführen.
Begründung
- Ein mit einer neu signierten Server-ID laufender Domino Server akzeptiert alte Signaturen von User-IDs, da er diese im Zertifiziererdokument im
Feld »RolloverCerts« (diese Feld ist nicht im geöffneten Zertifiziererdokument sichtbar, Du kannst es aber über die Dokumenteigenschaften anschauen) überprüfen kann.
- Eine mit einer neu signierten User-ID laufender Notes Client akzeptiert eine alte Signatur des Domino Servers nicht, da er sie nur mit seiner eigenen, neuen Signatur vergleichen kann. In dieser Konstellation ist also kein Zugriff des Clients auf den Domino Server möglich.
8.2. Schlüsselüberprüfung im Serverdokument deaktivieren!
8.3. ID Vault - warum ist der wichtig?
Ein ID Vault sorgt für regelmäßige und aktuelle Backups von User-IDs und besteht aus der ID Vault Datenbank, in welche User-IDs durch den Notes Client hochgeladen werden.
Wenn Du einen ID Vault erstellst, werden zusätzlich im Domino Directory (names.nsf) »Vault Trust Certificates« (O, OUs) erstellt - diese bilden die Vertrauensstellung zwischen dem ID Vault und den Zulassungsstellen.
Zusätzlich werden für Personen »Password Reset Certificates« erstellt - diese steuern, welche Anwender (Admins, Helpdesk usw.) Passwörter zurücksetzen dürfen.
Ist der ID Vault einmal eingerichtet, bietet er neben dem automatischen Backup der User-IDs weitere Komfortmerkmale:
- Kennwortzurücksetzung
Hat ein Anwender sein Passwort vergessen, kann dieses ohne auf ID-Dateien zugreifen zu müssen, zurückgesetzt werden.
- ID-Datei Extraktion
Sollte es erforderlich sein, können User-IDs aus dem ID Vault extrahiert werden.
- Austausch von defekten lokal auf dem Notes Client gespeicherten ID-Dateien
Wenn der Notes Client beim Start bemerkt, dass die lokale User-ID fehlt oder beschädigt ist, lädt er automatisch die Datei aus dem ID Vault herunter. Der Anwender bemerkt davon nichts.
- Immer aktuell User-IDs im ID Vault
Sobald eine Änderung an einer User-ID vorgenommen wird (z.B. Passwortänderung),lädt der Notes Client die geänderte User-ID sofort in den ID Vault - so gibt es immer aktuelle Backups.
8.4. Keinen ID Vault im Einsatz? Sofort ändern!
Wenn Deine Domino Umgebung nicht über einen ID Vault verfügt, funktioniert ein Key Rollover für Anwender nicht ohne das dem Anwender mehrere Dialoge am Notes Client angezeigt werden, z.B:
Anwender kennen diesen Dialog nicht, sind möglicherweise unsicher oder überfordert und wenden sich an den IT-Support.
Wichtig
Anwender können den Key Rollover durch die Schaltfläche »Cancel« auch komplett abbrechen!
Selbst für den Fall, dass der Anwender auf die Schaltfläche »Create keys« klickt, werden weitere Fragen gestellt.
Stelle im eigenen Interesse sicher, das ein einwandfrei funktionierender ID Vault bei Dir im Einsatz ist!
Wie erstelle ich einen ID Vault?
Die Erstellung eines neuen ID Vaults wird im Kapitel »11. Optional: Einen neuen ID Vault erstellen« gezeigt.
8.5. Aktueller Stand des ID Vaults in der Kursumgebung
8.6. notes.ini Parameter für den ID Vault
Durch den folgenden notes.ini Parameter für den Domino Server werden im ID Vault ausgeführte Aktivitäten (Key Rollover, Namensänderung usw.) auf der Domino Konsole angezeigt und in der log.nsf gespeichert.
DEBUG_IDV_UPDATE=1
Ausgabe an der Domino Konsole:
Sie können im Falle von Problemen bei der Ausführung eines Key Rollover bei Anwendern die Ursache ermitteln.
Wichtig
Da es sich um einen Debug-Parameter handelt, sollte er nicht dauerhaft aktiviert sein.
8.7. Durchführung des Key Rollovers
8.8. Überprüfung der geänderten Schlüssellängen
8.9. Alternative: Rezertifizierung einen Notes Anwenders
8.10. Was passiert bei Anwendern ohne ID im ID Vault?
9. ID Vault
10. ID Vault: Austausch der Vault Trust und Password Reset Zertifikate
10.1. Wichtig!
Du darfst auf keinen Fall Änderungen am ID Vault durchführen, solange noch nicht alle Key Rollovers (O, OUs, Server- und User-IDs) abgeschlossen sind!
10.2. Bestehende Zertifikatsdokumete löschen
10.3. Neue Zertifikatsdokumente erstellen
10.4. Funktioniert der ID Vault jetzt wieder? 2 Beispiele
11. Optional: Einen neuen ID Vault erstellen
11.1. Motivation
Es gibt Domino Administratoren, die einen ID Vault schon seit Jahren nutzen und das Gefühl haben, dass die dort gespeicherten User-IDs teilweise nicht OK sind.
Beispielsweise existieren z.B. User-IDs von Anwendern, die das Unternehmen verlassen haben oder es fehlen User-IDs.
So existiert der Wunsch, mit einem neuen ID Vault einen sauberen Schnitt zu machen.
In den folgenden Lektionen wird die Erstellung eines neuen ID Vaults sowie die die erforderlichen Änderungen an den relevanten »Policies« und zugeordneten »Security Settings« Dokumenten gezeigt.
Erstelle erst dann einen neuen ID Vault, wenn alle zuvor gestarteten Key Rollovers (O, OUs, Server- und User-IDs) abgeschlossen sind!