Stehe auf dem Schlauch - SSL / Traveler / Zertifizierung

[C_T]

Hallo an alle @Notesler,

ich stehe derzeit ein wenig stark auf dem Schlauch und hoffe ihr könntmir helfen...

Ich Bin derzeit dabei einen Notes Traveler ein zu richten, soweit so gut. Der Traveler Dienst steht und ich konnte mich auch schon per iPhone verbinden.
Nun möchte ich gerne den Traveler per HTTPS sprich SSL ansprechen.

Hierzu muss ich ja ua eine Zertifizierungsstelle auf dem Traveler Server einrichten.

Als erstes habe ich einen neue Schlüsselringdatei über die Datenbank "Server Certificate Admin" angelegt,
nun habe ich einen neuen Internetzertifizierer über "registrieren --> Internetzertifizierer" angelegt.
Soweit so gut. Nun muss ich ja so wie ich es verstanden habe diesen Zertifizierer migrieren und in den CA Prozess einbinden.
Dazu muss ich doch nur per Admin "Zertifizierer --> Zertifizierer migrieren" auswählen und im Anschluss den CA Prozess laden, den Adminp anschieben und den CA refreshen oder?


Ich habe in meiner Admin DB unter "All Requests by Action" auch die Request "Modify CA COnfiguration in Domino Directory", doch auch nach einem Tag warten wird diess
Request nicht abgearbeitet und der Befehl "tell ca stat" zeigt auch kein Ergebnis.

Könnt Ihr mir sagen ob dieser Ansatz für den HTTPS Zugriff auf den Traveler völlig falsch ist, bzw. woran es liegen kann das ich nicht weiter komme?

Vielen Dank
und ich hoffe ich konnte das Problem bis hierhin soweit deutlcih machen.

Gruß Christian

[mastertom]

Hi,

ggf. hängt es damit zusammen, dass traveler mom. keine selbst erstellten Zertifikate unterstützt...

http://publib.boulder.ibm.com/infocenter/domhelp/v8r0/index.jsp?topic=/com.ibm.help.lnt.doc/Configuring_SSL.html

[stoeps]

Selfsigned funktioniert sowohl mit Traveler 8.5.x, als auch mit den mobilen Endgeräten. Der Link ist für die 8.0

Nimm die Option Create Selfsigned in der certsrv.nsf, das genügt. Fuer deinen Weg brauchst du ne Ca und hast nur mehr Aufwand.

[eknori]

Mit sefl-signed Zertifikaten funktioniert es prima. Allerdings wird im Profil immer "unsigniert" angezeigt. Davon sollte man sich nicht verwirren lassen. Nur bei verifizierten zertifikaten über eine CA verschwindet die "unsigniert" Anzeige.

 

[mastertom]

Aha.. das klingt gut.. hilft auch mir weiter :-)

bin gerade dabei, mich ins Thema einzuarbeiten!

Mom. hänge ich eher an Non-Domino-Themen wie eine Linux-Firewall, die ich noch verstehen muss... (Port-Mapping, Reverse Proxy usw.)

[eknori]

OK, da hatte ich auch mit zu kämpfen.
Ab 8.5.2 brauchst du dir um Port 8642 für alle devices keine Sorgen mehr zu machen. Der Sync geht dann über Port 80/443 ( je nachdem, was du verwendest HTTP/HTTPS)

Bei 8.5.1 musst du Port 8642 an der Firewall natten; habe es nicht hinbekommen, das über den ReverseProxy zu bekommen.

Mit einem NAT ( PublicAddress:8642 -> InternalDomino:8642) funktioniert es dann problemlos.

[mastertom]

Klingt gut! Sehr guter Hinweis.

ich kämpfe eher mit IPTables und anderen "Herausforderungen freier Software".

Hier muß ich mal meinen Bekannten / Linux Guru anfunken!

Du hast Schon 852 im Einsatz als Beta-Tester? Oder ist die Version ohne mein Wissen herausgekommen? 

[eknori]

Bin design partner, daher 852.

[mastertom]

Wenn nicht Du, wer dann ;-)

[eknori]

Noch vierzehn Tage oder so, dann duerfen alle mitispielen :-)

[stoeps]

Wo hakts denn bei den iptables?

[mastertom]

Das ist jetzt schwieriger zu beantworten ...

Habe einen Server bei Stra**, mit dem netten PLESK.. incl. Firewall. Die Software "ermöglicht" u.a. die Firewall-Konfiguration.

Jedoch kann ich hier keine IP-Tables auf andere Weise konfigurieren, da mir die Software sämtliche Einstellungen wieder überschreibt... und ein Reverse Proxy, ein NAT usw. ist mit der SW nicht möglich!

Ich drehe mich also an anderer Stelle bereits im Kreis... bin kurz davor, alles runter zu werfen und vernünftig mit Linux zu arbeiten ;-)

[stoeps]

Ich versteh dein Problem nicht ganz, wenn du nen Str... Server hast, brauchst du doch NAT etc gar nicht. Da schaltest du nur 443 und 8642 frei. Ich geb dir nachher mal mein Skype frei, evtl bist ja grad online.

[mastertom]

OK... wichtigen Punkt vergessen...

der Domino-Server schnurrt auf einer virtuellen Maschine. Somit sind die Ports nicht direkt sondern nur durch Weitergabe / Nating möglich.

Jetzt hab ich bisher immer mit der Plesk-Firewall gearbeitet und die stößt an die Grenzen...

und bei IP-Tables muß ich bei 0.5 anfangen...

Somit kann ich aktuell mich nicht um Traveler kümmern, da ich die Ports nicht nach außen "durchbekomme"....

[mastertom]

Also auf  einer lokalen VM habe ich den Traveler mit DynDNS wunderbar zum laufen bekommen...

Nur mein NAT auf dem Root ist noch eine Herausforderung... aber wir haben ja jetzt das Wochenende ;-)

Sollte sich jemand mit NAT und PLESK-Firewall auskennen, immer her mit den Infos.

Grüße

Tom