Autor Thema: Schluessel verlängern  (Gelesen 3949 mal)

Offline Arno

  • Senior Mitglied
  • ****
  • Beiträge: 445
  • Geschlecht: Männlich
  • nur die Ruhe wir bekommen das schon hin ...
    • Gont
Schluessel verlängern
« am: 27.01.05 - 15:01:09 »
Hallo,

ich habe ( nun vor knapp 2 jahren ) eine Wurzelinstanz und ein Server-Zertifikate für den domino eingerichtet.

die Wurzelinstanzist ist noch auf jahre hin gültig,
nun läuft aber bald das Server-Zertifikate aus,

weiss jemand ob man die zertifikate verlängern kann oder,
ob ein neues Server-Zertifikate angelegt werden muss?

mfg

Gont
« Letzte Änderung: 02.02.05 - 10:28:35 von Gont »
IBM Certified System Administrator
IBM Certified Associate System Administrator
=================================================
R 7.0.3 (aussterbend) bis 8.Aktuell (gesammt ca. 150 Dominos auf der welt verteilt, schwerpunkt allerdings in Deutschland)

Offline Heiggo

  • @Notes Preisträger
  • Senior Mitglied
  • ****
  • Beiträge: 368
  • Geschlecht: Männlich
  • Ich habe nix gemacht!
Re: Schluessel verlängern
« Antwort #1 am: 29.01.05 - 02:42:03 »
Hääää??? Beim Zertifizieren eines Servers wird die Zulassungsdauer standardmäßig auf 100 Jahre festgelegt.
Aber... auch Server kann man rezertifizieren, wenn auch nur manuell. Obacht... Beim rezertifizieren wird immer die Standardzeit von 2 Jahren vorgegeben, auch bei Server-ID-Dateien. Das kann beim Rezertifizierungsvorgang natürlich "korrigiert" werden.
(¯`·._ (¯`·._-=- ...und für Bernhard... nur OFw d.R. :-) -=-_.·´¯)_.·´¯)

Offline Arno

  • Senior Mitglied
  • ****
  • Beiträge: 445
  • Geschlecht: Männlich
  • nur die Ruhe wir bekommen das schon hin ...
    • Gont
Re: Schluessel verlängern
« Antwort #2 am: 31.01.05 - 16:03:45 »
Hallo ,

@ Heiko Falscher Film  ;)

@ll

es gandelt sich um eine CA ( Stammzertifizierer )
Der standart liegt bei (glaube ich ) 10 Jahren

Der Schlüsselring ist nur Standartmässig 2 Jaher gültig,
das hat also nichts mit Server.Id oder dergleichen zutun.

Sondern dient als Zerifikat welches vom Browser zwecks verschlüsselung / Autentifizierung vom Server Installiert werden kann.

Ich habe also ein Zertifizierungsstelle eingerichtet ( Stamzertifikat )
und einen Server Schlüsselring ( Servver zertifikat )
(keyfile.kyr und keyfile.sth )

Nun kann ich beim IE meinen Stammzertifizierer eintagen und der Browser kann nun die Serverzertifikate welche eine eng begrenzte standart lebensdauer haben ( 2 J ) annehmen um so den Server als solchen zu Identifizieren und eine sichere verbindung  zum Server zu gewärleisten.

Zu meiner Frage :

Muss ich nun einen neuen schlüsselring für den server erstellen,
oder kann ich den bestehenden Schlüsselring  erneut zertifizieren.

mfg


Gont
IBM Certified System Administrator
IBM Certified Associate System Administrator
=================================================
R 7.0.3 (aussterbend) bis 8.Aktuell (gesammt ca. 150 Dominos auf der welt verteilt, schwerpunkt allerdings in Deutschland)

Offline Arno

  • Senior Mitglied
  • ****
  • Beiträge: 445
  • Geschlecht: Männlich
  • nur die Ruhe wir bekommen das schon hin ...
    • Gont
Re: Schluessel verlängern
« Antwort #3 am: 02.02.05 - 10:28:20 »
Hallo,

Ich habe mein Problemchen ( im nachhinein lächerlich einfach, wie immer *g* wenn man es endlich weiss  ) nun selber gelöst,

Eine Verlängerung eines schlüssels selber ist nicht möglich ( anscheinend ) daher muss ein neuerschlüsselring angelegt werden,
man spart lediglich das anlegen der Datenbanken und das Anlegen des Wurzelzertifikats ( ist 10 J gültig )

Lösung :

- Erstellen eines Neuen Schlüsselrings
 - mit anderem Namen z.B. Keyfile2.kyr
 - Nachfolgende Warnungen zu einem bestehenden schlüssel Ignorieren ;)

- Erstellen einer Zulassungsanforderung

- Mit dem Webbrowser auf die Zulassungsstelle zugreifen
  - Server zertifikat anfordern

- Wieder ab in die Zertifizierungsstelle und die anforderung bestätigen

- Im Web wieder das Zertifikat annehmen 

- In der zertifizierungsstelle den schlüssel instalieren

- Die neuen Daten ( 2 datein ) ins data vom server schieben

- Im Serverdokument den neuen Namen eintagen ( keyfile2.kyr)

HTTP neustarten reichte aus, aber sicherheitshalber wuerde ich zu einem Serverneustart tendieren

Zertifikate sind in einer Homogenen umgebung wirklich gut,
kommen aber andere Browser dazu kann es eine Tortur werden Stamzertifikate zu installieren und Zertifikate anzunehmen.

Ich finde es jedoch gut das man domino selber zum Stamzertifizierer machen kann so spart man nicht unherheblich geld, und kann dennoch eine gesicherte verbindung gewährleisten (ssl)

mfg

gont


PS: es wunderte mich das soviele leute es gelesen haben ich jedoch keine passende antwort bekommen habe, ist das thema so unbekannt oder habe ich mich soooooo falsch ausgequetscht ???

IBM Certified System Administrator
IBM Certified Associate System Administrator
=================================================
R 7.0.3 (aussterbend) bis 8.Aktuell (gesammt ca. 150 Dominos auf der welt verteilt, schwerpunkt allerdings in Deutschland)

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz