Rinnovare il certificato SSL in Lotus Domino 8.5

renewssl01

Quando il certificato in Lotus Domino è prossimo alla scadenza, è possibile utilizzare la key ring esistente per rinnovare il certificato SSL.

La procedura consiste nell’inviare la certification request alla CA utilizzata che rimanderà il certificato SSL convalidato.

Selezionare la key ring

Può capitare che nel tentativo di accedere alla pagina del Server Certification Administration compaia il messaggio di errore:

Invalid or nonexistent document

renewssl02

Per evitare l’errore “Invalid or nonexistent document”, accedere al Server Certificate Administration tramite il menu File > Application > Open.

renewssl03

Impostare il campo Look in come DominoMail/yourdomain/IT, selezionare la voce Server Certificate Admin e successivamente cliccare su Open.

renewssl04

L’applicazione dovrebbe aprirsi senza errori. Cliccare l’opzione View & Edit Key Rings per accedere al certificato SSL attualmente in uso.

renewssl05

Se non fosse già impostato, cliccare sul bottone Select Key Ring to Display in modo da selezionare il corretto certificato SSL in uso. Digitare il path e filename e cliccare su OK. Come best practice evitare di lavorare direttamente sul file originale per evitare potenziali problemi ma operare su una copia del file.

renewssl06

Inserire la password per accedere al file e cliccare su OK. La password è memorizzata nel file *.sth.

renewssl07

Il file corretto viene impostato come attivo.

renewssl08

Cliccare sull’opzione Create Key Rings & Certificates per accedere alla pagina richiesta per la creazione del nuovo certificato.

renewssl09

 

Creare il certificate request

Il primo step è la creazione del certificate request da inviare alla Certification Authority. Cliccare sull’opzione Create Certificate Request.

 

renewssl10

Compilare tutti i campi richiesti e successivamente cliccare sul bottone Create Certificate Request.

renewssl11

Inserire la password per accedere al file e cliccare su OK.

renewssl12

Copiare il certificato includendo le linee BEGINS ed END da inviare alla CA.

renewssl13

Effettuare l’operazione di incolla del certificato copiato nel modulo di richiesta ed attendere che la CA rimandi il certificato convalidato.

renewssl14

 

Installare il trusted Root certificate

Una volta che la CA rilascia il certificato convalidato, è necessario installare l’Authority Trusted Root certificate ed eventuali certificati intermedi. Dalla pagina principale cliccare l’opzione Install Trusted Root Certificate into Key Ring.

renewssl15

Compilare i campi richiesti, incollare il certificato CA Root e cliccare sul bottone Merge Trusted Root Certificate into Key Ring.

renewssl16

Inserire la password per accedere al file e cliccare su OK.

renewssl17

Quando la finestra di riepilogo viene visualizzata, cliccare su OK per procedere con l’operazione di merge.

renewssl18

Ad operazione avvenuta, compare la finestra di conferma. Ripetere eventualmente la stessa operazione se sono utilizzati intermediate CA certificates dall’Authority.

renewssl19

 

Installare il certificato

Quando il Trusted Root Certificate è stato installato, bisogna installare il nuovo certificato SSL nella Key Ring. Cliccare sull’opzione Install Certificate Into Key Ring.

renewssl20

Compilare i campi richiesti ed effettuare l’operazione di incolla del nuovo certificato ricevuto dalla CA. Cliccare successivamente sul bottone Merge Certificate into Key Ring per procedere.

renewssl21

Inserire la password per accedere al file e cliccare su OK.

renewssl22

La finestra di conferma compare visualizzando le informazioni del certificato. Cliccare su OK per procedere con l’operazione di merge.

renewssl23

Cliccare su OK per procedere.

renewssl24

Il certificato è ora installato nella Key Ring.

renewssl25

 

Configurare i parametri SSL di Domino

Dalla console grafica  Domain Administrator, cliccare su Configuration > Server > All Server Documents > Ports > Internet Ports. Verificare che il campo SSL key file name contenga il path corretto e filename quindi cliccare sul bottone Save & Close.

renewssl26

Copiare i file Key Ring aggiornati (entrambi i *.kyr e *.sth) nella directory Domino Data nel folder \Lotus\Domino\data.

renewssl27

Per attivare la nuova configurazione è necessario effettuare il restart del server http.

renewssl28

 

Verificare il certificato SSL

Quando dal browser vengono cliccati i dettagli del certificato mentre si effettua l’accesso alla webmail tramite https, è possibile verificare il nuovo periodo di validità del certificato SSL.

renewssl29

La procedura è ora completa ed il sistema è aggiornato con il nuovo certificato SSL.

firma