Verlängertes Zertifikat lässt sich nicht mehr im Schlüsselring eintragen

[tigger]

Hallo,

irgendwie stehe ich scheinbar etwas neben mir.

Folgendes Problem. Wir betreiben seit ein paar Jahren einen Domino-Web-Server.
Der Zugriff erfolgt über https:. Das Zertifikat im Schlüsselring dazu wurde schon mal
verlängert, und stammt vom Trust Center in Hamburg.
Bisher lief der Server mit 5.0.11 und ist seit kurzem auf 7.0 umgestellt.
Seit dieser Umstellung akzeptiert er das Zertifikat vom TrustCenter in Hamburg nicht
mehr, weil er/es dafür keine gültige Wurzelinstanz findet.

Was kann ich tun? Wie kann ich das Trust Center in diese Liste reinbringen?

Mit freundlichen Grüßen
tigger

[mcilly]

Habt ihr bei der Umstellung auf V7 den Hostnamen geändert? Denn soweit ich weiß, gehen SSL Zertifikate auf den Hostnamen.

[m3]

Roman, tiggers Problem ist ein anderes. Domino 7 kennt per default nur VeriSign, RSA und Netscape als "trusted roots". Er muss denen nun das TrustCenter Hamburg hinzufügen.

@tigger: "Merging a CA certificate as a trusted root " in der Admin-Hilfe erklärt die notwendigen Schritte.

[tigger]

Hi m3,

ich tue alles wie in der Hilfe beschrieben. Es wird mir auch noch der Inhalt des Zertifikates angezeigt, es wird darauf hingewiesen, dass es schon existiert und überschrieben wird - aber dann kommt die Meldung

"Cannot find certificate issuer among trusted roots"

und das wars dann.
Es spielt hierbei keine Rolle ob ich es unter Schritt 3. oder 4. versuche einzufügen.

Kleine Frage am Rande. Ich habe das TC Trustcenter Hamburg als zugelassenen Internet Certifier im Domino-Verzeichnis stehen. Kann ich das/die Zertifikate irgendwie als Wurzelinstanzen in die certsrv.nsf
übertragen?

Gruß
tigger

[mcilly]

Danke für die ausführliche Fehlermeldung. Deshalb gibts auch eine passende Antwort ;-)
Einfach statt Option 3 die Option 4 auswählen und sollte funktionieren.

http://www-1.ibm.com/support/docview.wss?rs=475&context=SSKTWP&context=SSKTMJ&q1=Cannot+find+certificate+issuer+among+trusted+roots&uid=swg21218033&loc=en_US&cs=utf-8&lang=en

[tigger]

Hi mcilly,

isch habe es schon unter Option 4 probiert. 
(Und den Hostnamen habe ich auch beibehalten.)

tigger

[mcilly]

Du hast also "Install Certificate into Key Ring" versucht und bekommst selbige Fehlermeldung?

[tigger]

Yepp!

[mcilly]

Klappt das wirklich erst seit der Server Umstellung nicht mehr, oder habt ihr erst vor kurzem das Zertifikat verlängern lassen? Hat die Zertifizierungsstelle das Zertifikat signiert?

Die CA erstellt mit Hilfe des privaten Schlüssels eine digitale Signatur über der Server-Zertifikatsanforderung. Dadurch wird ein Server-Zertifikat erstellt. Im Wesentlichen wird die Zertifikatsanforderung durch die Signatur in ein Zertifikat umgewandelt. Das Server-Zertifikat wird daraufhin als gültig angesehen.
Welche Methode zum Signieren eines Server-Zertifikats verwendet wurde, hängt davon ab, ob das Zertifikat von einer Domino oder einer Fremdanbieter-CA ausgestellt wurde. In deinem Fall ja ein Fremdanbieter.

[tigger]

Hmm..

also das vorhandene Zertifikat stammt von 2005. Die Serverumstellung war ende 2006.
Die Zertifikatsverlängerung erfolgte jetzt im Mai.

Ich habe nochmals die Server-Signatur von damals  mit der von heute vergleichen lassen, und keinen Unterschied festgestellt. D.h. zumindest theoretisch liegt es nicht am Anbieter.

tigger