Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发

说到Domino大家都很熟悉了,同时我们也知道Domino目前最新的版本为Domino9.0.1FP3版本;具体功能的更新我就不多介绍了,主要还是继上一篇文章中介绍到的,是为了给测试项目搭建测试环境,今天domino主要介绍就是Domino9.01FP3下配置LDAP的匿名、SSL及kerkbors功能,Domino的具体安装我们在此就不演示了,具体操作我们可以在前面的文章中有说到,可以进行参考。主要的证书相关问题,在notes9.0.1中需要安装Notes FP3 IF3才可以合并证书,因为在domino这个notes版本中才具有SHA2的证书格式。所以我们的使用环境版本为:Domino 9.0.1 FP3+Notes FP3 IF3(证书合并的最低版本要求)

我们首先需要开启Domino服务自带的LDAP匿名访问;对于安装我们就跳过了,如果有其他需求可以参考我文章中的domino类中的相关文档。我们打开服务器文档

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP

服务器文档—编辑—port---internet ports---directory

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_02

开启匿名访问

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_03

这样Domino下的LDAP服务的匿名访问就成功开启了。接下来就是配置Domino下的LDAP及web的SSL功能,说到SSL,大家都知道就是需要一张证书,所以接下来我们就为domino申请一张证书,因为是测试环境,所以我们需要借助到内部环境的windows下搭建的CA服务器来为domino颁发证书。

在domino控制台上右击打开系统自带的certsrv.nsf

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_04Create key ring

输入key证书路径、密码及key size然后下来菜单填写证书信息

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_05

Common name: domino服务器的FQDN mail.test.com

Organization domain

Organizational domain

。。。。。。。。

同时开始创建证书

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_06

Create key ring

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_07

二、create certficate request

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_08

确认信息后,直接create certificate request

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_09

填写第一步自定义的证书密码

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_10

注:复制Cert内容然后保存后,到winsdows CA上申请证书

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_11

复制出来的证书文件

-----BEGIN NEW CERTIFICATE REQUEST-----

MIICrDCCAZQCAQAwZzELMAkGA1UEBhMCY24xEDAOBgNVBAgTB2JlaWppbmcxEDAO

BgNVBAcTB2JlaWppbmcxDTALBgNVBAoTBHRlc3QxDTALBgNVBAsTBHRlc3QxFjAU

BgNVBAMTDW1haWwudGVzdC5jb20wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK

AoIBAQC9OXRuw0KEFV1qdTPoZ5cA0A9D/HixWWGkrGjJxJI56YX2WUdT7k/BPm1L

ff7h4pyUUdnZpYm97GOxRKR2pOPsNTvdNnu+3fQQL5VkJzOoar0KcUzXI0hncz0K

QMy1ca1w5J4OiSgX3zCtGP01wNySCDfJerMPHeRy/quOywPOJXaJhmK2C8klK55L

xMWXg5iomiogoGnzSUTjDk1Agh+wTs7u4F35+YwWRrP73/Y5D+Xg0cRtAD/5nDoL

wAl7vWKe9Mll9TgwbUUkWOKILdmBVP72cgkKiUoYmiPFYEGwaicwIoIy+8yLAVm6

WtZTQxbQ4eYhVyHjuiRU+W7+HT57AgMBAAGgADANBgkqhkiG9w0BAQQFAAOCAQEA

OBPV3XpwauDuM9TNjkWw8IzsaU+gHMmyth+73NapzojqxbE6mZRipkQ1heTjTQIe

9csJwtDhoWAGQVkLtepUOkzCRfwE8xl9TX1h+qTukvyZaasJmaFF4VdHKFx4mVCf

RJucJSyMTsdEdN9O37KQvPEkpX4vfFMaRQOEVw0L7JyHsZxlx8HHSl3OBoduBPf7

e6tHqK8AkUqIiF+tV1k08yWuOYr5SaTP2o2jM5qBuWhI1Ih2VkTIUaf/OXy5Ia2a

+zQ/ek7opSLUJc5Un7MZ2N69w1JTAB56G7/1gedt7EyhkYNX8T2KyUrkBmVCOwqQ

q9VPX7B0gsRrSwf9J0ovQQ==

-----END NEW CERTIFICATE REQUEST-----

我们需要通过以上的cert文件到windows ca上进行证书申请

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_12

使用base64编码进行申请提交

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_13

粘贴cert文件内容后提交

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_14

提交后,需要下载证书链,不需要下载证书

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_15

然后我们需要将下载的证书链双击打开,选择根证书后,右击导出

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_16

因为我们需要通过txt文本打开该证书,所以需要选择导出类型为base64(x509)

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_17

确认信息后,导出

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_18

导出CA后,我们还要回到domino的certsrv.nsf数据库操作上,执行第三步,合并CA证书

首先我们通过txt打开刚才导出的CA根证书,然后复制证书编码

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_19

复制CA跟证书编码后,运行certsrv.nsf第三步骤-install trusted root certificate into key ring

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_20

将复制的跟证书内容编码粘贴到Clipboard框中即可

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_21

输入证书自定义密码

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_22

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_23

合并完成(注:如果合并不成功提示证书不匹配,原因就是notes版本太低,通过ibm的官网解释说notes client需要domino9.0.1 FP3 IF3补丁安装才可以合并证书,因为在新版本中才支持证书类型sha2)

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_24

接下来完成最后一步了,哪就是安装domino证书到key文件中。同理我们需要通过txt文本打开从证书链导出的mail证书,然后复制证书文件内容;我们需要从证书链中导出mail证书

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_25

同样选择base64编码

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_26

选择路径及名称导出即可

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_27

接着我们通过txt打开刚才导出的mail证书文件,然后复制内容

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_28

复制证书内容后,打开certsrv。nsf数据库执行最后一步,install certificat into key ring

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_29

将复制的证书文件内容粘贴到clipboard框中即可

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_30

输入证书密码

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_31

确认

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_32

导入完成

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_33

到此证书申请操作完成,接下来我们看看生成的证书文件

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_34

最后千万别忘记修改服务器配置,指定证书路径,修改后记得重启domino服务

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_35

再次测试证书是否生效

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_36

最后我们还要开启LDAP的SSL配置

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_37

最后我们要介绍Domino下的kerbors配置

我们首先需要在windows本地创建一个用户,然后将该用户加入到domain admins中,最后使用该账户作为domino 服务器的启动用户

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_38

设置后用户后,我们需要在domino服务器上,使用刚才新建的sysadmin账户作为domino服务器的启动账户

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_39

然后通过setspn –a HTTP/mail.test.com sysadmin 注册代理服务器(默认会自动创建)

通过setspn –l sysadmin

Setspn –l mail可以进行查看

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_40s

然后我们需要配置SSO,单击服务器文档---创建web sso配置

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_41

定义SSO配置

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_42

定义完成后,我们创建domino-sso-key

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_43

Domino下的SSO配置完成后,我们修改服务器文档配置

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_44

同时我们需要通过本地的da.ntf模板创建一个AD关联数据库

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_45

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_46

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_47

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_48

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_49

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_50

该属性我们是通过windows属性来定义的

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_51

接着我们需要修改服务器文档配置来加载该AD数据库

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_52

配置好后,我们为了测试结果,需要在notes.ini添加调试参数,我们需要服务器配置文档即可

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_53

注:在整个过程中,我们设置了domino的用户策略

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_54

因为是kerbors,所以在下面用户验证的时候,用户使用的密码是AD中用户密码,而不是domino密码

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_55

登陆成功

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_56

我们通过控制台就可以看见用户验证的所有过程

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_57

Domino9.0.1FP3下的LDAP、Kerbors详细配置介绍及证书申请颁发_Domino9.0.1FP3下的LDAP_58