Versionen im Vergleich

Version Alte Version 8 Neue Version 9
Änderungen wurden vorgenommen von

Andreas Sauer

Patrick Schneider

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Codeblock
https.protocols=TLSv1.2

Besonderheiten

Proxy für die Verbindung

In diesem Fall muss der Proxy an zwei Stellen hinterlegt werden:

Für Verbindungen des stanocServiceHelper:

Im <Domino-Programmverzeichnis\stanoc die Datei stanocServiceHelper.conf anpassen und die Daten hinterlegen:

...

Für Verbindungen mit stanocPowerHelper:

Dafür muss der Domino-Dienst als Benutzer ausgeführt werden und man muss eine Windows-Sitzung für diesen User starten und PowerShell aufrufen.

Codeblock
notepad $Profile

Folgendes eintragen (Daten anpassen)

Codeblock
[system.net.webrequest]::defaultwebproxy = new-object system.net.webproxy('http:/192.168.123.45:3128')
$user="proxy-username"
$pass= Convertto-SecureString "geheimes-Passwort" -AsPlaintext -Force
$cred = New-Object System.Management.Automation.PSCredential $user,$pass
[system.net.webrequest]::defaultwebproxy.credentials = $cred
[system.net.webrequest]::defaultwebproxy.BypassProxyOnLocal = $true
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Datei dann speichern und schließen.

Falls es nicht möglich ist, den Domino-Dienst als User auszuführen , kann man auch den Code direkt in zentraler Stelle ins Script einfügen.

Transparenter Proxy, der SSL-Verbindungen aufbricht und scannt

Da die Domino JVM nicht die Zertifikatsinformationen von Windows verwendet, muss man die Zertifizierungsstelle des SSL-Scanning Proxy in der Domino JVM als Vertrauenswürdige Zertifizierungsstelle hinterlegen.

  • Backup der cacerts machen (<Domino-Programmverzeichnis>\jvm\lib\security\cacerts )

    Image Added

  • Zertifikat der Proxy CA im Base64 enkodierten Format organisieren (die ist in der Regel im der Windows-Zertifikatsverwaltung auf allen PCs verteilt) und in C:\Temp\ als sophos-ca.cer ablegen:

    Image Added

  • In einer CMD-Sitzung mit Administrator-Rechten das Zertifikat importieren

    Codeblock
    cd /d <Domino-Programmverzeichnis>\jvm\bin
keytool.exe -importcert -trustcacerts -keystore <Domino-Programmverzeichnis>\jvm\lib\security\cacerts -storepass changeit -alias SOPHOSCA -import -file C:\Temp\sophos-ca.cer

    Die Abfrage, ob dem Zertifikat vertraut werden soll, mit Ja/Yes beantworten

  • Ggf. muss der Domino-Dienst neu gestartet werden