SSL Aktivierung bzw. Benutzung

[Ozan]

Hallo,

habe in der such funktionion leider nicht das was ich suche gefunden, daher würde ich das hier einmal fragen.

Gibt es eine Möglichkeit ohne eine Internet-Zertifizierungsstelle einen keyring.kyr zu erzeugen und zu benutzen?

Hintergrund: Ich habe eine Datenbank.nsf den ich eigentlich per ACL-Zugriff schütze. Hier werden auch Adressen verwaltet. Daher war meine gedanke SSL auch mit einzuführen. Ich habe mir die Lizenzpreise für SSL angeschaut... eine menge Geld....

Ich habe mir überlegt eine *.cer Datei zu erstellen und dies in Domino implementieren so dass die dritte Stelle gar nicht abgefragt wird sondern der User einmal gefragt wird und der das mit "Vertraunswürdig" button in seine lokale PC speichert und diese Frage dann nicht mehr auftaucht. Kann sein dass ich eventuell ein Denkfehler mache.

Ich habe eine andere Problem und zwar FTP-SSL in diese art und weise gelöst gehabt sprich *.cer zum Client FTP als Vertraunswürdig einspeisen lassen.

Über infos freue ich mich.

Gruss
Ozan

[(h)uMan]

Hallo,

sofern ein Domino Server vorhanden ist, kann eine eigene CA erstellt werden. Mit der können dann auch eigene SSL Zertifikate erzeugt werden.

Details siehe http://publib.boulder.ibm.com/infocenter/domhelp/v8r0/index.jsp?topic=/com.ibm.help.domino.admin.doc/DOC/H_UPGRADING_MAIL_FILES_WITH_THE_MAIL_CONVERSION_UTILITY_OVER.html

Aber es gibt auch günstige "offizielle" SSL-Zertifikate, z. B. bei http://www.psw.net/ssl.cfm.

Schöne Grüße, Uwe

[DigitDani]

Ich kann Uwe da bestätigen... es muss ja nicht gleich ein Verisign oder Thawte Cert sein.
Letzte Woche habe ich einem Kunden seinen DWA Server mit einem Single Root Zertifikat von RapidSSL verschlüsselt. Das kostet ihn jetzt 69$ in 5 Jahren.

In der Server Certificate Admin DB kannst Du übrigens auch ein Keyringfile mit einem Self-Certified Certificate erstellen. Das dauert keine zwei Minuten und ist für Tests gut geeignet. Willst Du produktiv trotzdem ein eigenes Zertifikat einsetzen, solltest Du den beschriebenen Weg über eine eigene CA gehen.

Dein Denkansatz, dass Deine Benutzer das nicht vertrauenswürdige Zertifikat in ihren lokalen Zertifikatsspeicher des PCs importieren können, um weitere Meldungen zu vermeiden, ist soweit richtig.

VG
Daniel

[m3]

Wenn die User auch mit dem Firefox 3 arbeiten werden, würde ich auf jeden Fall ein "externes" SSl-Zertifikat empfehlen, da die Firefox 3 "Warnmeldungen" und Dialoge, um ein Zertifikat als Vertrauenswürdig einzustufen eher abschreckend als sonstwas sind (dazu gibts auch von mir schon ein Posting).

Achtung: Nicht jeder "ordentliche" Zertifikatsanbieter hat seine Stammzertifikate im Firefox 3 und erspart den Usern daher die Klick- und Warnungsorgie des Browsers. Die österreichische A-Trust (a.trust) schafft es beispielsweise seit über vier Jahren nicht, ihre Stammzertifikate in den Firefox zu bringen - und die braucht man in AT für alles, was mit e-government, ... zu tun hat.