Zum Ende der Metadaten springen
Zum Anfang der Metadaten

Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 11 Aktuelle »

1. Dateien

Die in der ZIP-Datei enthaltenen JAR Dateien werden im Verzeichnis <Domino Programmverzeichnis>\jvm\lib\ext benötigt
https://stanoc.atlassian.net/l/c/A71U6ZVm

Inhalte der folgenden ZIP muss in <Domino Programmverzeichnis> in das Unterverzeichnis stanoc entpackt werden:
https://stanoc.atlassian.net/l/c/eGmMgb8K

Der PowerHelper muss in <Domino Programmverzeichnis> in das Unterverzeichnis stanoc kopiert werden:
https://stanoc.atlassian.net/l/c/vBF13fut

2. Anpassen der Umgebung (Notes.ini)

2.1. Patch

Wenn der Domino Server in der Version 9.0.1 FP10 betrieben wird, ist es zwingend erforderlich folgendes JVM-Patch von HCL zu installieren:
https://support.hcltechsw.com/community?id=community_blog&sys_id=3304eb0c1bae7810534c4159cc4bcb08

2.2. Domino JVM

Es ist hilfreich der JVM mehr Speicher zur Verfügung zu stellen - dazu setzt man in der Notes.ini die Parameter:

JavaMaxHeapSize=2048M
HTTPJVMMaxHeapSize=2048M
HTTPJVMMaxHeapSizeSet=1

Anschließend den HTTP Task des Domino Servers beenden und neu starten (ein "tell http restart"-Befehl reicht manchmal nicht aus):

tell http quit
load http

2.3. Domino JVM TLS

In die Notes.ini muss ein Parameter für das Konfigurationsfile für Java hinzugefügt werden, sodass Domino HTTPS per TLS V1.2 nutzt:

JavaUserOptionsFile=c:\ibm\domino\javaoptions.properties

In der angegebenen Datei muss nun folgende Zeile eingetragen werden:

https.protocols=TLSv1.2

3. Besonderheiten

3.1. Proxy für die Verbindung

In diesem Fall muss der Proxy an zwei Stellen hinterlegt werden:

3.1.1. Für Verbindungen des stanocServiceHelper:

Im <Domino-Programmverzeichnis\stanoc die Datei stanocServiceHelper.conf anpassen und die Daten hinterlegen:

3.1.2. Für Verbindungen mit stanocPowerHelper:

Dafür muss der Domino-Dienst als Benutzer ausgeführt werden und man muss eine Windows-Sitzung für diesen User starten und PowerShell aufrufen.

notepad $Profile

Folgendes eintragen (Daten anpassen)

[system.net.webrequest]::defaultwebproxy = new-object system.net.webproxy('http:/192.168.123.45:3128')
$user="proxy-username"
$pass= Convertto-SecureString "geheimes-Passwort" -AsPlaintext -Force
$cred = New-Object System.Management.Automation.PSCredential $user,$pass
[system.net.webrequest]::defaultwebproxy.credentials = $cred
[system.net.webrequest]::defaultwebproxy.BypassProxyOnLocal = $true
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Datei dann speichern und schließen.

Falls es nicht möglich ist, den Domino-Dienst als User auszuführen , kann man auch den Code direkt in zentraler Stelle ins Script einfügen.

3.2. Transparenter Proxy, der SSL-Verbindungen aufbricht und scannt

Da die Domino JVM nicht die Zertifikatsinformationen von Windows verwendet, muss man die Zertifizierungsstelle des SSL-Scanning Proxy in der Domino JVM als Vertrauenswürdige Zertifizierungsstelle hinterlegen.

Ansonsten kann es zu folgendem Fehlerbild kommen:

java.util.concurrent.ExecutionException: com.microsoft.aad.msal4j.MsalClientException: javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
Caused by: com.microsoft.aad.msal4j.MsalClientException: javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
Caused by: javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target       
  • Backup der cacerts machen (<Domino-Programmverzeichnis>\jvm\lib\security\cacerts )

  • Zertifikat der Proxy CA im Base64 enkodierten Format organisieren (die ist in der Regel im der Windows-Zertifikatsverwaltung auf allen PCs verteilt) und in C:\Temp\ als sophos-ca.cer ablegen:

  • In einer CMD-Sitzung mit Administrator-Rechten das Zertifikat importieren

    cd /d <Domino-Programmverzeichnis>\jvm\bin
    keytool.exe -importcert -trustcacerts -keystore <Domino-Programmverzeichnis>\jvm\lib\security\cacerts -storepass changeit -alias SOPHOSCA -import -file C:\Temp\sophos-ca.cer

    Die Abfrage, ob dem Zertifikat vertraut werden soll, mit Ja/Yes beantworten

  • Ggf. muss der Domino-Dienst neu gestartet werden

  • Keine Stichwörter