Unterschiedliches Internet Zertifikat

[kuabuab]

Hallo Forum

Bin schon seit längerer Zeit an einem komischen Verhalten am rumschrauben:

Thema Internet Zertifikat: (Domino 7.0.2 Server)
  1.   From the Domino Administrator, click People & Groups.
  2.   Select the names of the users who need Internet certificates.
  3.   Choose Actions - Add Internet Cert to Selected People.

Dann wird ein Internet Zertifikat für die entsprechenden Benutzer erstellt. Unter Internet Certificate im Personendokument ist es auch ersichtlich. Über , Actions - Export Internet certificates kann ich das eben erstellte Zertifikat Lokal abspeichern und ansehen.
Im Endeffekt sollte diese XY.cer Datei ein Kunde erhalten um den Public-Key zu Importieren.

So weit so gut, das Funktioniert!


Nur gibt es da bei den Internet Zertifikaten am PublicKey einen Unterschied, je nach Person… Der öffentlicher Schlüssel ist einmal RSA (512) und einmal RSA (1024). 

Personen die noch mit  Notes 4.x und 5.x Registriert wurden erhalten einen 512Bit Public Key. Alle neueren User einen 1024 public Key. Seit wir aber Domino 7.0.2 einsetzten wurde jeder User rezertifiziert.

Im Personen Dokument konnte ich nun einen Unterschied feststellen: Unter: Certificates -  Notes Certificate(s) ist der Notes certified public key bei “alten“ User nur 1100 Zeichen lang. Bei neuen User 1106 Zeichen lang.


Die Generierung von Internet Zertifikaten hab ich in schon allen möglichen Variationen ausprobiert mit/ohne CA-Process mit und ohne 1024 KeyRing-File, im Kopfstand vor dem PC etc…


Das ganze wäre ja nicht so schlimm, wenn nicht einige Kunden explizit ein 1024 Bit Public Key verlangen.


Gruss
Dani

PS: Übrigens ist auch ein PMR beim blauen reisen offen. Die haben dort von Zertifikaten anscheinend keine Ahnung und fragen nur irrelevantes Blödes Zeugs. 

[Lossa]

Hi,

ich verstehe nun erstmal nicht was der zertifizierte Notes Key mit dem Intranetkey etwas zu tun hat.
Der Key in Notes R5 ist es ein 630Bit Schlüssel in ND7 ein 1024Bit Schlüssel, aber nur wenn du auch einen Keyrollover machst (achtung etwas buggy)
Erklär dochmal genau wo das Problem mit dem INTERNET Zertifikat liegt, seit der Rezertifizierung.

[kuabuab]

Hallo,


Das INTERNET Zertifikat ist grundsätzlich ok. Es ist im names.nsf auf dem Personendokument unter : Certificates - Internet Certificate(s)
Der Unterschied ist die Key Länge. Bei Personen die schon lange in der Firma sind, ist der Key kürzer als bei den Personen die erst seit ca. 3 Jahren dabei sind.

Um die Länge des Publickey zu sehen muss man das INTERNET Zertifikat exportieren als .CER File. Dann kann man das Zertifikat ansehen und unter Public Key (key strength) ist dann die Länge angegeben. -> Bild

Nun ein Zusammenhang von Notes-Key und INTERNET Zertifikat ist mir auch nicht klar...

@Lossa
Hast Du eine Idee wie das INTERNET Zertifikat generiert wird?
Wenn ich das herausfinden kann, komme ich vielleicht weiter, woran das Problem liegt.
Ob ein Keyrollover bei uns Sinn macht muss ich zuerst mit meinen Kollegen abklären. Jedenfalls danke für den Hinweis.



Dani

[kuabuab]

Problem soweit im Griff...

Die Idee des Key-Rollover macht auf jedenfalls Sinn. Leider brachte es nichts.


Nun umschiffen wir das Problem, indem wir für "alte" User ein Seperates Internet-Zertifikat über die "Certificate Requests Database" erstellen. Der User kann dann das eben erstellte Internet-Zertifikat in seine Client importieren. Ewas umständlich das ganze, aber immerhin.


Dani