Seitenvergleich

1. Dateien

Die in der ZIP-Datei enthaltenen JAR Dateien werden im Verzeichnis <Domino Programmverzeichnis>\jvm\lib\ext benötigt
https://stanoc.atlassian.net/l/c/A71U6ZVm

...

Der PowerHelper muss in <Domino Programmverzeichnis> in das Unterverzeichnis stanoc kopiert entpackt werden:
https://stanoc.atlassian.net/l/c/vBF13fut

2. Anpassen der Umgebung (Notes.ini)

2.1. Patch

Wenn der Domino Server in der Version 9.0.1 FP10 betrieben wird, ist es zwingend erforderlich folgendes JVM-Patch von HCL zu installieren:
https://support.hcltechsw.com/community?id=community_blog&sys_id=3304eb0c1bae7810534c4159cc4bcb08

2.2. Domino JVM

Es ist hilfreich der JVM mehr Speicher zur Verfügung zu stellen - dazu setzt man in der Notes.ini die Parameter:

...

tell http quit
load http

...

2.3. Domino JVM TLS

In die Notes.ini muss ein Parameter für das Konfigurationsfile für Java hinzugefügt werden, so daß sodass Domino SSL HTTPS per TLS V1.2 nutzt:

JavaUserOptionsFile=c:\ibm\domino\javaoptions.properties

In der angegebenen Datei muss nun folgende Zeile eingetragen werden:

https.protocols

...

=TLSv1.2

3. Besonderheiten

3.1. Proxy für die Verbindung

In diesem Fall muss der Proxy an zwei Stellen hinterlegt werden:

3.1.1. Für Verbindungen des stanocServiceHelper:

Im <Domino-Programmverzeichnis\stanoc die Datei stanocServiceHelper.conf anpassen und die Daten hinterlegen:

...

3.1.2. Für Verbindungen mit stanocPowerHelper:

Dafür muss der Domino-Dienst als Benutzer ausgeführt werden und man muss eine Windows-Sitzung für diesen User starten und PowerShell aufrufen.

notepad $Profile

Folgendes eintragen (Daten anpassen)

[system.net.webrequest]::defaultwebproxy = new-object system.net.webproxy('http:/192.168.123.45:3128')
$user="proxy-username"
$pass= Convertto-SecureString "geheimes-Passwort" -AsPlaintext -Force
$cred = New-Object System.Management.Automation.PSCredential $user,$pass
[system.net.webrequest]::defaultwebproxy.credentials = $cred
[system.net.webrequest]::defaultwebproxy.BypassProxyOnLocal = $true
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Datei dann speichern und schließen.

Falls es nicht möglich ist, den Domino-Dienst als User auszuführen , kann man auch den Code direkt in zentraler Stelle ins Script einfügen.

3.2. Transparenter Proxy, der SSL-Verbindungen aufbricht und scannt

Da die Domino JVM nicht die Zertifikatsinformationen von Windows verwendet, muss man die Zertifizierungsstelle des SSL-Scanning Proxy in der Domino JVM als Vertrauenswürdige Zertifizierungsstelle hinterlegen.

Ansonsten kann es zu folgendem Fehlerbild kommen:

java.util.concurrent.ExecutionException: com.microsoft.aad.msal4j.MsalClientException: javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
Caused by: com.microsoft.aad.msal4j.MsalClientException: javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
Caused by: javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target       

• Backup der cacerts machen (<Domino-Programmverzeichnis>\jvm\lib\security\cacerts )

  Image Added

• Zertifikat der Proxy CA im Base64 enkodierten Format organisieren (die ist in der Regel im der Windows-Zertifikatsverwaltung auf allen PCs verteilt) und in C:\Temp\ als sophos-ca.cer ablegen:

  Image Added

• In einer CMD-Sitzung mit Administrator-Rechten das Zertifikat importieren

  Codeblock
  cd /d <Domino-Programmverzeichnis>\jvm\bin keytool.exe -importcert -trustcacerts -keystore <Domino-Programmverzeichnis>\jvm\lib\security\cacerts -storepass changeit -alias SOPHOSCA -import -file C:\Temp\sophos-ca.cer

  Die Abfrage, ob dem Zertifikat vertraut werden soll, mit Ja/Yes beantworten
  

• Ggf. muss der Domino-Dienst neu gestartet werden