Autor Thema: SSL für iNotes Web Access einrichten (Gelesen 6358 mal)

Moaddin · « **am:** 23.03.07 - 15:04:22 »

Hallo liebe Helferinnen und Helfer,
ich würde gerne SSL für den Zugriff per Web Access auf meinem Lotus Notes Server einrichten.
Aufgrund der Hilfe und anderem Wissen habe ich bereits folgendes eingerichtet:
1. In der Notes.ini wird der HTTP Task gestartet
2. In der Serverkonfiguration unter Ports --> Internet Ports habe ich den TCP/IP und den SSL Port Status jeweils auf "Enabled" gesetzt und den SSL Key file name auf "keyfile.kyr" belassen.
3. Mit meinem Notes Client habe ich den Server Certificate Admin(certsrv.nsf) gestartet und eine bzw. zwei Key Ring Dateien erstellt (keyfile.kyr und keyfile.sth)
4. Ich habe einen "Certificate Request" erstellt, den ich unter "Certificate Request Log" auch als Eintrag wiederfinde mit Typ "Clipboard"
5. Die beiden Keyring Dateien habe ich ins DATA Verzeichnis auf dem Server kopiert.

Nun zu meinem Problem:
Mittels HTTP kann ich auf den Server zugreifen. Mittels HTTPS "kann die Seite nicht angezeigt werden".
Auf der Serverkonsole erhalte ich beim Starten des HTTP Tasks folgende schöne Meldung:
HTTP Server: SSL Error: No local certificate, key ring file[keyfile.kyr], [Default Server]

Die Keyring Dateien scheint der Server allerdings zu finden, denn wenn ich die Dateien aus dem DATA Verzeichnis entferne meckert er:
HTTP Server: SSL Error: Keyring File access error, key ring file[keyfile.kyr], [Default Server]

Ich weiß leider nicht, ob ich etwas vergessen haben könnte oder sogar etwas falsch gemacht habe.

Folgende Infos zur Umgebung:
Ich habe zwei Lotus Domino v6.5.3 im Einsatz, einen in der DMZ(DMZ_Mail) und einen im LAN(LAN_Mail). Die o.g. Änderungen habe ich auf dem DMZ_Mail Server durchgeführt.

Ich bin über jede Hilfe sehr dankbar

m3 · « **Antwort #1 am:** 23.03.07 - 15:20:42 »

Ich würd mal drauf tippen, dass Domino auf einer Unix-Kiste rennt und du die keyring-files so raufkopiert hast, dass die Berechtigungen nicht stimmen und der Domino-Server die Files nicht öffnen darf.

Nachtrag:
Technote 1177612: "HTTP Server: SSL Error: No local certificate"

Moaddin · « **Antwort #2 am:** 23.03.07 - 15:29:23 »

Ach sorry, die Angabe des Betriebssystems wäre natürlich auch nicht schlecht.
Die Server laufen mit Windows 2000 Server und die Berechtigungen hat mein Vorgänger für die Gruppe "Jeder" auf Vollzugriff gesetzt. Ich möchte diese Einstellung ehrlich gesagt auch nicht ändern. Der Zugriff ist also möglich.
Wenn dies nicht der Fall wäre würde ich aber auch vermuten, dass die zweite Fehlermeldung erscheinen sollte, da der Lotus Server die Dateien dann sozusagen gar nicht sieht.

Moaddin · « **Antwort #3 am:** 23.03.07 - 15:34:00 »

Vielen Dank für Deinen Nachtrag.
Also die Großkleinschreibung ist nicht unterschiedlich.

Den letzten Punkt kann ich leider nicht fehlerfrei interpretieren:
In another case, the error occurred because the CA certificate was not properly merged into the keyring. The customer created a new certificate request, and merged the returned certificate into the keyring to resolve the error.

Eine "Nicht Lotus Domino SSL Experte" Interpretation wäre echt cool.

m3 · « **Antwort #4 am:** 23.03.07 - 15:39:57 »

Ich versuchs mal.

In dem Serevr-Zertifikat, welches Du erstellst, musst Du das Zertifikat der "Certificate Authority" (CA) als "vertrauenswürden Ausgangspunkt" (trusted root) "drinnen" haben, sonst klappts später mit der Authentifizierung nicht.

Das ist aber im Kapitel "Merging a CA certificate as a trusted root" in der Admin-Hilfe unter "Setting up SSL on a Domino server" wunderbar erklärt.

Du machst eh jetzt mal ein "self signed" Zertifikat, oder?

Moaddin · « **Antwort #5 am:** 23.03.07 - 16:12:46 »

Die CA ist doch die Stelle die alles zertifiziert, also Benutzer IDs, Server IDs, usw., oder?
Wenn Du mit "self signed" Zertifikat meinst, dass ich keine externe Zertifizierungsstelle hinzuziehe, dann kann ich dies mit Ja beantworten.

Ich komme leider mit der Domino Hilfe nicht zurecht.
2. Browse to the certificate authority application (the Certificate Requests application for a server-based certification authority, and the Domino Certificate Authority for a Domino 5 Certificate Authority) on the Domino CA:
If you use Microsoft Internet Explorer, use HTTP to connect to the application.
If you use Netscape, use SSL to connect to the application. Then, use the instructions provided by the browser software to accept the site certificate.

Mich stört schon der Satz "Browse to the Certificate Authority". Ich benötige eher Informationen wie:
Öffnen Sie den Domino Administrator, klicken Sie auf den Reiter "Konfiguration", erweitern Sie links den Punkt "Zertifizierung" und klicken Sie auf "Zertifizierer migrieren".

Ich habe übrigens den Domino Server in englisch und meinen Domino Administrator und Notes in deutsch installiert, daher die verschiedenen Sprachen. Die Hilfe habe ich auch in deutsch und in englisch.
Ich stelle mich sicherlich ein bischen dämlich an, aber die Zertifikatsgeschichte ist für mich nicht so leicht nachzuvollziehen, sorry...

m3 · « **Antwort #6 am:** 23.03.07 - 16:57:08 »

Domino CA != CA für SSL (ist etwas verwirrend)
Domino Zertifikat != SSL Zertifikat

Und thematisch bist Du da IMHO im falschen Bereich der Hilfe.
Du willst Dir "Creating a self-certified certificate to test SSL certification" ansehen.

Moaddin · « **Antwort #7 am:** 26.03.07 - 10:21:10 »

hmm, also muss ich mir noch eine neue CA extra für SSL erstellen?

Bezüglich "Creating a self-certified certificate to test SSL certification":
Das hört sich so an, als sei es nur zu Testzwecken, daher habe ich mir dieses Kapitel bisher nicht angesehen. Ich möchte ja, wenn es funktioniert, sofort SSL produktiv einsetzen bzw. benutzen...

Moaddin · « **Antwort #8 am:** 28.03.07 - 08:59:46 »

Bitte helft mir

Moaddin · « **Antwort #9 am:** 29.03.07 - 13:25:59 »

Sooo, habe das Problem inzwischen selbst gelöst. Ich musste noch eine Domino CA extra für SSL anlegen(Danke an m3).

Für alle SSL Einrichtungsanfänger hier die Lösung:
Man gehe auf Datei --> Datenbank --> Neu und erstellt eine neue Datenbank mit folgenden Eigenschaften:
Speicherort für die neue Datenbank und die zugeh. Schablone: Server
Häkchen setzen bei: Weitere Schablonen anzeigen
Schablone auswählen: Domino Certificate Authority
Dateiname der Schablone: cca50.ntf

Titel für neue DB: Domino Certificate Authority
Dateiname für neue DB: cca50.nsf
Das sind Vorschlagswerte von mir, aber warum sollte man sich vom Standard wegbewegen...

Die soeben erstellte Datenbank habe ich geöffnet und bin die drei aufgeführten Punkte durchgegangen.
1. CA Key erstellen
2. CA Key konfigurieren
3. Keyring Dateien erstellen

Den unter Punkt 1 erstellten CA Key und die unter Punkt 3 erstellten Keyring Dateien habe ich dann in das Data Verzeichnis des Servers kopiert und den Mailserver neugestartet. JETZT LÄUFTS

Autor Thema: SSL für iNotes Web Access einrichten (Gelesen 6358 mal)

Moaddin

SSL für iNotes Web Access einrichten

m3

Re: SSL für iNotes Web Access einrichten

Moaddin

Re: SSL für iNotes Web Access einrichten

Moaddin

Re: SSL für iNotes Web Access einrichten

m3

Re: SSL für iNotes Web Access einrichten

Moaddin

Re: SSL für iNotes Web Access einrichten

m3

Re: SSL für iNotes Web Access einrichten

Moaddin

Re: SSL für iNotes Web Access einrichten

Moaddin

Re: SSL für iNotes Web Access einrichten

Moaddin

Re: SSL für iNotes Web Access einrichten