Generar un CertificateSigningRequest (CSR) utilizando IBM Lotus Domino 6.0

Para generar un CSR, usted necesitará generar un par de llaves para el servidor. Estos dos elementos son un certificado digital y no pueden ser separados. Si usted pierde o elimina el archivo que contiene su llave publica/privada o su contraseña y genera uno nuevo, su certificado SSL no coincidirá. Usted deberá generar una nueva solicitud de certificado SSL por el que se le podrá cobrar. VeriSign recomienda que para obtener información adicional tome contacto con el fabricante de la aplicación.

Para generar un CSR utilizando IBM Lotus Domino 6.0, siga los pasos que se indican a continuación.

Antes de solicitar un certificado a una Autoridad Certificadora (CA), usted debe generar un key ring para almacenar los certificados. El keyRing es un archivo binario que está protegido por una password y se encuentra  almacenado en el disco duro del servidor. Cuando usted crea un KeyRign (*.KYR), IBM® Lotus® Domino™ genera un certificado de servidor no firmado y automáticamente se incluye en el almacén de certificados de raíz de confianza. El certificado de servidor no es válido a menos que esté firmado por una CA. Domino también crea un archivo stash (*:STH) utilizando el mismo nombre que se utilizó para el KeyRing, pero con extensión STH. Domino utiliza el archivo stash para almacenar la password del Key Ring, para prevenir accesos no autorizados al Key Ring.

Cada certificado de servidor incluye un distinguished name (DN) utilizado para conexiones SSL. Usted define este DN cuando usted crea el severkey ring. Algunos componentes del DN son opcionales, sin embargo, se deben incluir la mayor cantidad de datos posibles para evitar la duplicidad de un certificado en el futuro.

Cree un Key Ring

1. Inicie la aplicación Server CertificateAdmin
2. Desde el cliente Lotus Notes, abra la aplicación Server CertificateAdmin en el servidor que quiere habilitar el certificado SSL.
3. Hagaclic en Create Key Ring
4. Complete los siguientes campos:

Key Ring File Name: Escriba el nombre del archivo del Key Ring. El nombre por defecto es KEYFILE.KYR. Se recomienda utilizar extensión *.KYR.

Key Ring Password: Ingrese una password para el Key Ring.

Key Size: Especifique el largo de la llave que utilizará cuando cree el par de llaves. Mientras mas alto el largo de la llave, mas alta será la encriptación. Note que a lo menos debe ser de 2048 bits.

Locality or City (L): el campo localidad es el nombre de la ciudad. Por ejemplo, Santiago, Lima.

Country Name (C): utilice un código de 2 letras sin puntuación para el país. Por ejemplo CL, PE, US.

State or Province (S): escriba utilice un código de 2 letras sin puntuación para el país. Por ejemplo CL, PE, US.el estado complete; no abrevie el nombre del estado o provincial. Por ejemplo, Valparaíso.

Organization (O): si su compañía o departamento tiene un carácter especial como & o @, debe ingresar el nombre de la organización sin el carácter especial. Por ejemplo XY & Z Corporation debe ser ingresado como XY and Z Coporation.

OrganizationalUnit (OU): este campo es opcional, pero suele ser utilizado por la organización para identificar el certificado. La Unidad Organizacional es el nombre del departamento o suborganización a cargo de generar la solicitud.

Common Name (CN): el common name se compone de HOST + DOMINIO. Por ejemplo www.company.com o mail.company.com.

Los certificados Verisign solo pueden ser utilizados en los servidores con el common name que se especifica en el CSR. Por ejemplo un certificado para “dominio.com” recibirá una alerta si accede a un sitio www.dominio.com o seguro.dominio.com, porque www.dominio.com y seguro.dominio.com son diferentes de “dominio.com”.

No ingrese direcciones de email, la frase secreta o nombres opcionales de la compañía cuando genere el CSR.

5. Haga clic en Create Key Ring
6. Luego de que usted lea y verifique la información del DN y del Key Ring, haga clic en OK. Lotus Notes creará el Key Ring y el Stash (.STH), y los coloca en el directorio de datos de Lotus Notes en el equipo que se utilizo para crear el Key Ring.
7. Copie el Key Ring y Stash en el directorio de datos de Domino Server.

Precaución: Asegúrese que la password del key ring en el stash está protegida. La contraseña del key ring se modifica en el archivo Stash, de modo que no puede ser reconocida por un observador casual, pero tampoco está cifrada. Usted no debe permitir que personas no autorizadas tenga acceso al key ring. El procedimiento correcto es que sólo el servidor tenga acceso a estos dos archivos, sin embargo, los administradores del servidor también pueden necesitar tener permisos para acceder, quitar o reemplazar estos archivos.

Solicitar un certificado SSL de Servidor

1. En el Lotus Notes Client, abra la aplicación Server CertificateAdmin en el servidor que usted quiere habilitar el certificado SSL.
2. Haga clic en CreateCertificateRequest
3. Complete los siguientes campos:

4. Haga clic en CreateCertificateRequest
5. Ingrese la password para el Key Ring
6. Si usted seleccionó “Pegar la información en el sitio de la CA”, en el paso 4, copie el CSR (incluyendo las líneas “BeginCertificate” y “EndCertificate”).
7. Realice el enrolamiento.

Puede obtener mayor información visitando la documentación de IBM Lotus Domino Server (http://publib-b.boulder.ibm.com/lotus/c2359840.nsf/Main?OpenFrameSet), haciendo clic en Security > SSL Certificate>Setting up SSL on a Domino Server.

Durante el proceso de verificación, es posible que e-Sign VeriSign tenga que ponerse en contacto con su organización. Asegúrese de entregar una dirección de correo electrónico, número de teléfono y número de fax correctos, estos datos se verificarán y no son parte del certificado.