Quando il certificato in Lotus Domino è prossimo alla scadenza, è possibile utilizzare la key ring esistente per rinnovare il certificato SSL.
La procedura consiste nell'inviare la certification request alla CA utilizzata che rimanderà il certificato SSL convalidato.
Selezionare la key ring
Può capitare che nel tentativo di accedere alla pagina del Server Certification Administration compaia il messaggio di errore:
Invalid or nonexistent document
Per evitare l'errore “Invalid or nonexistent document”, accedere al Server Certificate Administration tramite il menu File > Application > Open.
Impostare il campo Look in come DominoMail/yourdomain/IT, selezionare la voce Server Certificate Admin e successivamente cliccare su Open.
L'applicazione dovrebbe aprirsi senza errori. Cliccare l'opzione View & Edit Key Rings per accedere al certificato SSL attualmente in uso.
Se non fosse già impostato, cliccare sul bottone Select Key Ring to Display in modo da selezionare il corretto certificato SSL in uso. Digitare il path e filename e cliccare su OK. Come best practice evitare di lavorare direttamente sul file originale per evitare potenziali problemi ma operare su una copia del file.
Inserire la password per accedere al file e cliccare su OK. La password è memorizzata nel file *.sth.
Il file corretto viene impostato come attivo.
Cliccare sull'opzione Create Key Rings & Certificates per accedere alla pagina richiesta per la creazione del nuovo certificato.
Creare il certificate request
Il primo step è la creazione del certificate request da inviare alla Certification Authority. Cliccare sull'opzione Create Certificate Request.
Compilare tutti i campi richiesti e successivamente cliccare sul bottone Create Certificate Request.
Inserire la password per accedere al file e cliccare su OK.
Copiare il certificato includendo le linee BEGINS ed END da inviare alla CA.
Effettuare l'operazione di incolla del certificato copiato nel modulo di richiesta ed attendere che la CA rimandi il certificato convalidato.
Installare il trusted Root certificate
Una volta che la CA rilascia il certificato convalidato, è necessario installare l'Authority Trusted Root certificate ed eventuali certificati intermedi. Dalla pagina principale cliccare l'opzione Install Trusted Root Certificate into Key Ring.
Compilare i campi richiesti, incollare il certificato CA Root e cliccare sul bottone Merge Trusted Root Certificate into Key Ring.
Inserire la password per accedere al file e cliccare su OK.
Quando la finestra di riepilogo viene visualizzata, cliccare su OK per procedere con l'operazione di merge.
Ad operazione avvenuta, compare la finestra di conferma. Ripetere eventualmente la stessa operazione se sono utilizzati intermediate CA certificates dall'Authority.
Installare il certificato
Quando il Trusted Root Certificate è stato installato, bisogna installare il nuovo certificato SSL nella Key Ring. Cliccare sull'opzione Install Certificate Into Key Ring.
Compilare i campi richiesti ed effettuare l'operazione di incolla del nuovo certificato ricevuto dalla CA. Cliccare successivamente sul bottone Merge Certificate into Key Ring per procedere.
Inserire la password per accedere al file e cliccare su OK.
La finestra di conferma compare visualizzando le informazioni del certificato. Cliccare su OK per procedere con l'operazione di merge.
Cliccare su OK per procedere.
Il certificato è ora installato nella Key Ring.
Configurare i parametri SSL di Domino
Dalla console grafica Domain Administrator, cliccare su Configuration > Server > All Server Documents > Ports > Internet Ports. Verificare che il campo SSL key file name contenga il path corretto e filename quindi cliccare sul bottone Save & Close.
Copiare i file Key Ring aggiornati (entrambi i *.kyr e *.sth) nella directory Domino Data nel folder \Lotus\Domino\data.
Per attivare la nuova configurazione è necessario effettuare il restart del server http.
Verificare il certificato SSL
Quando dal browser vengono cliccati i dettagli del certificato mentre si effettua l'accesso alla webmail tramite https, è possibile verificare il nuovo periodo di validità del certificato SSL.
La procedura è ora completa ed il sistema è aggiornato con il nuovo certificato SSL.
