Discussion :

[howto]

Bonjour,

Après avoir passer mon serveur Domino & Traveler de 901FP2 vers 901 FP4 (et FP7 pour traveler). Mes clients webmail ne peuvent plus accéder à inotes et les clients traveler ne peuvent plus se connecter (message sur le client traveler : Le serveur utilise un certificat SSL non accrédité".

La console affiche des messages 'TLS/SSL connection failed with server certificat....MD5" et autres du même style.

Après avoir passé plusieurs heures avec le support lotus, il m'indique en fin de compte que je dois suivre cette procédure "Generating a keyring file with a self-signed SHA-2 cert using OpenSSL and kyrtool" et créer un nouveau certificat.

Tout d'abord je ne suis pas trop familiarisé avec les certificats et je me demandais si vous pensez que c'est la seule solution. Je pense que plusieurs d'entre ont passé le FP4 sur vos serveurs Domino et que vous avez peut être une solution autre.

Si vous êtes dans ce cas qu'avez vous fait pour revenir à un fonctionnement correct de votre infrastructure Lotus.

[Jérôme Deniau]

Soit tu régénères un certificat SSL en sua-2 en suivant la procédure IBM.
Soit tu désinstalle le FP4 en le relançant mais dans ce cas pas de TLS.

Si tu es en MD5 c'est généralement un vieux certificat auto-généré? si c'est un certificat SSL officiel, utiliser kyrtools.exe pour refaire un CSR et renouveler auprès du fournisseur. Généralement si le certificat SSL est encore valide on peut le faire auprès du fournisseur. Côté openssl vue qu'on a des serveurs Domino Linux c'est plus facile pour nous que d'installer une bouze openSSL sur windows.

[howto]

Merci de cette réponse, est ce que tu aurais un lien vers la procédure IBM que tu cite.

Moi j'ai trouvé ça : http://www-10.lotus.com/ldd/dominowi...SL_and_kyrtool

[Jérôme Deniau]

Technote IBM -> http://www-01.ibm.com/support/docvie...id=swg21967350

Title: Domino Web Server keyring still using MD5 may cause TLS 1.2 handshake failure
Doc #: 1701159
URL: https://www-304.ibm.com/support/docv...id=swg21701159


Autres liens et info directement du forum Domino 9

Title: SHA-2 support available for IBM Domino 9.x
Doc #: 1418982
URL: http://www.ibm.com/support/docview.wss?uid=swg21418982

You have two options, Using Self-Sign and an SSL from a Third Party CA vendor.
Self-Sign Domino SHA-2 SSL
http://www-10.lotus.com/ldd/dominowi...SL_and_kyrtool

Third Party Domino SHA-2 SSL
http://www-10.lotus.com/ldd/dominowi...SL_and_kyrtool


Référence: http://www-10.lotus.com/ldd/ndseforu...257EC900773C61

[Fabrice Papirnyk]

Oui moi aussi j'ai eu cette "surprise". Par contre j'avais des erreurs sur la console, mais ça ne m'empêchait pas de me connecter. Je n'ai pas tout saisi.

Créer les nouveaux certifs, c'est inévitable à court terme. C'est assez rapide à faire.. après avoir perdu qq heures dans les pièges.

Voici mes astuces :
- Openssl a bien fonctionné sur mon windows. Seul souci, par défaut il fabrique les fichiers dans son répertoire d'installation, et avec windows 8 ça gueule dès qu'on veut faire quoi que ce soit dans C/Programs. Donc juste pointer ailleurs les fichiers en sortie.
- Pour la longueur de la clé, on peut se limiter à 2048. Il semblerait que cela suffise pour parer aux calculateurs jusqu'en l'an 2030, et surtout le 4096 mange plus de ressource CPU.
- Fermer Notes avant de lancer le Kyrtool : une fois cela m'a crashé Notes, et j'ai eu de la peine à le réparer.

Enfin, la bonne nouvelle c'est qu'on n'a plus besoin d'utiliser les bases Notes pour faire les certificats, ça c'est un gros soulagement

[howto]

J'ai fait mes nouveaux fichiers "keyfile.kyr et keyfile.sth" que j'ai placés dans mon "domino\data", j'ai bien redémarré mon serveur, mais l'accès des clients traveler n'est toujours pas possible (message : certificat SSL non accrédité).

Faut il faire une manip supplémentaire dans les fichiers de configuration de domino ?

[Fabrice Papirnyk]

Tu as bien pointé dessus dans la configuration du serveur web ? (doc "site internet" ou "serveur" ou "serveur virtuel", suivant ta config)

[howto]

oui le nom du fichier correspond bien dans le document de configuration

[Fabrice Papirnyk]

Tu as une erreur dans la console Domino quand tu redémarres la tâche HTTP ? ou ensuite ?
Tu as bien mis les fichiers dans le /Data à côté du names.nsf et tout le reste ?

[howto]

Je n'ai aucune erreur lors du démarrage du http, les fichiers (kyr et sth) sont bien dans le répertoire data.

L'accès à la page inotes est possible avec le navigateur IE mais impossible avec Firefox, chrome et pas de synchro traveler sur les terminaux.

Ca fait maintenant 3 jours que c'est out. grrrrrrrrrrr

Donc j'ai prévu ce week end de préparer un scénario pour revenir à une situation antérieure à la mise à jour du FP4, mais j'ai quelques questions concernant la meilleure façon de faire. Le contexte
- Bases utilisateurs répliquées entre 2 serveurs (celui en vrac et un autre), la réplication a continué à se faire
- DAOS existant et transaction log aussi

Donc pour que ma restauration soit ok quelles sont les étapes à faire ?
1 - Je restaure tout le répertoire "lotus\domino"
2 - Dans le répertoire "lotus\domino\data" quels sont les fichiers que je dois restaurer ?
3 - Est ce qu'il est nécessaire de restaurer certains fichiers de DAOS ?
4 - Quelles seront les actions à faire après le restore ?

Merci d'avance à tous pour vos conseils

[Jérôme Deniau]

Relancer l'installation du FP4 suffit!, cela permet de désinstaller le FP4!

[howto]

et pour traveler qui a été également mis à jour en FP7 ?

[Jérôme Deniau]

C'est mieux

[Fabrice Papirnyk]

Si tu m'envoies tes fichiers ssl , je veux bien les tester pour voir si c'est un pb de conf ou de cert. Après tu pourras les refaire pour la sécurité.
Car à mon avis c'est juste un petit truc qui n'est pas passé.

[mjaffres]

Bonjour,

Pour avoir également utilisé kyrtool, le seul souci avec les certificats auto-signés c'est qu'il ne sont pas certifié root d'où des pop-up à valider ou des certificats a enregistrer dans le magasin
Je mets en PJ des screen sur une configuration d'un serveur de dev en Windows 2012 avec domino 9.0.1 FP4 clef 2048 sha256 généré avec open ssl et kyrtool, on voit que le protocole utilisé est correct TLS 1.2

[Jérôme Deniau]

Avec les certificats auto-signés de plus en plus d'emmerdes.... (iPhone, etc...) tant que ça reste en local ça peut passer, après des accès externes c'est moyen moyen...

[Fabrice Papirnyk]

Pour un petit intranet ça va encore. Mais c'est vrai que je viens de voir un cas encore plus gênant : l'application Verse pour iOS refuse tout net un certificat auto-signé ! Cela reste assez simple à contourner, il suffit d'accréditer localement le certif, ça marchait du premier coup facilement avec un simple lien. (on peut aussi continuer à se passer de l'appli pour prendre le connecteur Exchange).

Un auto-signé ça devient lourd si on a beaucoup d'utilisateurs, et si on n'a pas de moyen de pousser automatiquement le certif.

[howto]

Bonjour,

Après 3 jours de galère, je suis revenu à une config qui fonctionne FP2 pour domino et FP8 pour traveler. Toujours pas de TLS et donc le bilan c'est que j'ai pas avancé d'un pouce par rapport à ce que je voulais faire.

Au moins les utilisateurs ont retrouvés l'utilisation de leur client traveler (enfin ceux qui ne sont pas en IOS9).

J'ai vu aussi que pour IOS9 il faut un certificat qui ne soit pas auto-signé, Fabrice tu dis que l'on peut contourner en accréditant localement le certificat, peux tu STP m'indiquer à quoi correspond cette manip ?

Question : Est ce qu'on peut avoir un même certificat avec plusieurs noms (exemple pour un serveur que l'on peut joindre avec différents alias server1.domaine.com ou serveur2.domaine.com)

[Fabrice Papirnyk]

Pour intégrer le cert :
- l'extraire au format .cer (je fais Propriétés du certificat depuis le browser web, et le bouton "copier dans un fichier")
- mettre le cer dans data/domino/html/
- pointer safari vers http://serveur.domaine.com/cert.cer
- là tu dois accepter 3 fois et c'est bon

Par contre je ne sais pas si l'appli Verse accepte un certificat qui soit pas en SHA2.

De toutes façons cette appli n'est pas obligatoire.

Des fois ça fonctionne de mettre le même certif pour n'importe quelle URL, mais normalement ça peut pas marcher.
Le certificat SSL est lié à un nom d'hôte.
Au mieux, j'abuse souvent du wildcard : *.domaine.com

Mais tu n'as fait que reculer l'échéance, il faut que tu parviennes à faire ton certificat.
A mon avis, il y a qqch qui s'est mal passé à la fabrication.

[Jérôme Deniau]

on a
- LDAP S
- SMTP TLS
- POP3 S
- IMAP s

donc en gros dès qu'il y a des connexions externes soit
- Bigip et on fait du offload ssl (mieux) pareil avec Apache
- on achète un certificat wildcard sur x années (si on est parano, un certificat par host et on le renouvelle tous les ans pour s'assurer de la sécurité...

Perso je prends l'option 1 faire du offload SSL et en blindant à mort les accès LAN par les postes clients.