Versionen im Vergleich

Version Alte Version 9 Neue Version Aktuell
Änderungen wurden vorgenommen von

Patrick Schneider

Patrick Schneider

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Der PowerHelper muss in <Domino Programmverzeichnis> in das Unterverzeichnis stanoc kopiert entpackt werden:
https://stanoc.atlassian.net/l/c/vBF13fut

...

Codeblock
https.protocols=TLSv1.2

3. Besonderheiten

3.1. Proxy für die Verbindung

In diesem Fall muss der Proxy an zwei Stellen hinterlegt werden:

3.1.1. Für Verbindungen des stanocServiceHelper:

Im <Domino-Programmverzeichnis\stanoc die Datei stanocServiceHelper.conf anpassen und die Daten hinterlegen:

...

3.1.2. Für Verbindungen mit stanocPowerHelper:

Dafür muss der Domino-Dienst als Benutzer ausgeführt werden und man muss eine Windows-Sitzung für diesen User starten und PowerShell aufrufen.

...

Falls es nicht möglich ist, den Domino-Dienst als User auszuführen , kann man auch den Code direkt in zentraler Stelle ins Script einfügen.

3.2. Transparenter Proxy, der SSL-Verbindungen aufbricht und scannt

Da die Domino JVM nicht die Zertifikatsinformationen von Windows verwendet, muss man die Zertifizierungsstelle des SSL-Scanning Proxy in der Domino JVM als Vertrauenswürdige Zertifizierungsstelle hinterlegen.

Ansonsten kann es zu folgendem Fehlerbild kommen:

Codeblock
java.util.concurrent.ExecutionException: com.microsoft.aad.msal4j.MsalClientException: javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
Caused by: com.microsoft.aad.msal4j.MsalClientException: javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
Caused by: javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

  • Backup der cacerts machen (<Domino-Programmverzeichnis>\jvm\lib\security\cacerts )

  • Zertifikat der Proxy CA im Base64 enkodierten Format organisieren (die ist in der Regel im der Windows-Zertifikatsverwaltung auf allen PCs verteilt) und in C:\Temp\ als sophos-ca.cer ablegen:

  • In einer CMD-Sitzung mit Administrator-Rechten das Zertifikat importieren

    Codeblock
    cd /d <Domino-Programmverzeichnis>\jvm\bin
keytool.exe -importcert -trustcacerts -keystore <Domino-Programmverzeichnis>\jvm\lib\security\cacerts -storepass changeit -alias SOPHOSCA -import -file C:\Temp\sophos-ca.cer

    Die Abfrage, ob dem Zertifikat vertraut werden soll, mit Ja/Yes beantworten

  • Ggf. muss der Domino-Dienst neu gestartet werden

...