Autor Thema: Verlängertes Zertifikat lässt sich nicht mehr im Schlüsselring eintragen  (Gelesen 2864 mal)

Offline tigger

  • Frischling
  • *
  • Beiträge: 49
  • Geschlecht: Männlich
Hallo,

irgendwie stehe ich scheinbar etwas neben mir.

Folgendes Problem. Wir betreiben seit ein paar Jahren einen Domino-Web-Server.
Der Zugriff erfolgt über https:. Das Zertifikat im Schlüsselring dazu wurde schon mal
verlängert, und stammt vom Trust Center in Hamburg.
Bisher lief der Server mit 5.0.11 und ist seit kurzem auf 7.0 umgestellt.
Seit dieser Umstellung akzeptiert er das Zertifikat vom TrustCenter in Hamburg nicht
mehr, weil er/es dafür keine gültige Wurzelinstanz findet.

Was kann ich tun? Wie kann ich das Trust Center in diese Liste reinbringen?

Mit freundlichen Grüßen
tigger

Offline mcilly

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.361
  • Geschlecht: Männlich
  • nicht die Bohne...
Habt ihr bei der Umstellung auf V7 den Hostnamen geändert? Denn soweit ich weiß, gehen SSL Zertifikate auf den Hostnamen.
LG Roman

http://www.appreport.net - Täglich Berichte über Apps aus den App Stores

Offline m3

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Roman, tiggers Problem ist ein anderes. Domino 7 kennt per default nur VeriSign, RSA und Netscape als "trusted roots". Er muss denen nun das TrustCenter Hamburg hinzufügen.

@tigger: "Merging a CA certificate as a trusted root " in der Admin-Hilfe erklärt die notwendigen Schritte.


HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline tigger

  • Frischling
  • *
  • Beiträge: 49
  • Geschlecht: Männlich
Hi m3,

ich tue alles wie in der Hilfe beschrieben. Es wird mir auch noch der Inhalt des Zertifikates angezeigt, es wird darauf hingewiesen, dass es schon existiert und überschrieben wird - aber dann kommt die Meldung

"Cannot find certificate issuer among trusted roots"

und das wars dann.
Es spielt hierbei keine Rolle ob ich es unter Schritt 3. oder 4. versuche einzufügen.

Kleine Frage am Rande. Ich habe das TC Trustcenter Hamburg als zugelassenen Internet Certifier im Domino-Verzeichnis stehen. Kann ich das/die Zertifikate irgendwie als Wurzelinstanzen in die certsrv.nsf
übertragen?

Gruß
tigger

Offline mcilly

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.361
  • Geschlecht: Männlich
  • nicht die Bohne...
Danke für die ausführliche Fehlermeldung. Deshalb gibts auch eine passende Antwort ;-)
Einfach statt Option 3 die Option 4 auswählen und sollte funktionieren.

http://www-1.ibm.com/support/docview.wss?rs=475&context=SSKTWP&context=SSKTMJ&q1=Cannot+find+certificate+issuer+among+trusted+roots&uid=swg21218033&loc=en_US&cs=utf-8&lang=en
LG Roman

http://www.appreport.net - Täglich Berichte über Apps aus den App Stores

Offline tigger

  • Frischling
  • *
  • Beiträge: 49
  • Geschlecht: Männlich
Hi mcilly,

isch habe es schon unter Option 4 probiert.  :'(
(Und den Hostnamen habe ich auch beibehalten.)

tigger
« Letzte Änderung: 23.05.07 - 14:11:26 von tigger »

Offline mcilly

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.361
  • Geschlecht: Männlich
  • nicht die Bohne...
Du hast also "Install Certificate into Key Ring" versucht und bekommst selbige Fehlermeldung?
LG Roman

http://www.appreport.net - Täglich Berichte über Apps aus den App Stores

Offline tigger

  • Frischling
  • *
  • Beiträge: 49
  • Geschlecht: Männlich

Offline mcilly

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.361
  • Geschlecht: Männlich
  • nicht die Bohne...
Klappt das wirklich erst seit der Server Umstellung nicht mehr, oder habt ihr erst vor kurzem das Zertifikat verlängern lassen? Hat die Zertifizierungsstelle das Zertifikat signiert?

Die CA erstellt mit Hilfe des privaten Schlüssels eine digitale Signatur über der Server-Zertifikatsanforderung. Dadurch wird ein Server-Zertifikat erstellt. Im Wesentlichen wird die Zertifikatsanforderung durch die Signatur in ein Zertifikat umgewandelt. Das Server-Zertifikat wird daraufhin als gültig angesehen.
Welche Methode zum Signieren eines Server-Zertifikats verwendet wurde, hängt davon ab, ob das Zertifikat von einer Domino oder einer Fremdanbieter-CA ausgestellt wurde. In deinem Fall ja ein Fremdanbieter.
LG Roman

http://www.appreport.net - Täglich Berichte über Apps aus den App Stores

Offline tigger

  • Frischling
  • *
  • Beiträge: 49
  • Geschlecht: Männlich
Hmm..

also das vorhandene Zertifikat stammt von 2005. Die Serverumstellung war ende 2006.
Die Zertifikatsverlängerung erfolgte jetzt im Mai.

Ich habe nochmals die Server-Signatur von damals  mit der von heute vergleichen lassen, und keinen Unterschied festgestellt. D.h. zumindest theoretisch liegt es nicht am Anbieter.

tigger

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz