Domino 9 und frühere Versionen > ND8: Administration & Userprobleme

Cross Certify von 7 auf 8.5.2 schlägt fehl

(1/3) > >>

ThomasHB:
Hallo zusammen,

ich versuche gerade eine Cross Zertifizierung zwischen zwei Dominoserver einzurichten.
Der eine ist ein 8.5.2 und der andere ein 7.0.4.

Zwei verschiedene Certifier und zwei versch. Notes Domänen
Es sollen nur die Server kommunizieren können, also keine Benutzer.

Dafür habe ich aus dem Server.ID File jeweils ein Safe Copy erstellt und das auf dem jeweils anderen Cross Zertifiziert.

Aber irgendwie klappt das nicht...
Ich erhalte folgende Meldung auf dem 8.5.2 also auf dem Server, auf den repliziert werden soll vom 7er.

25.11.2010 19:37:09   Server/1 from host [192.168.1.9:18432] failed to authenticate: Your public key was not found in the Domino Directory

Verstehe ich aber nicht... Ich habe doch beide Cross Zertifiziert, warum soll er dann das public Key nicht finden...

Grüße,
Thomas

Patrick Schneider:
Hallo!

Wenn wirklich beide korrekt gegenzertifiziert wurden, kann es sein, dass irgendein Cache noch keine Informationen zu den Gegenzertifikaten enthält. Es hilft meist, alle möglichen Caches (DB-Cache / Name Lookup Cache) auf den Servern zu löschen und - falls dies nichts hilft - beide Server neu zu starten.
Eine grundsätzliche Inkompatibiltät zwischen 7.0.4 und 8.5.2 bzgl. Gegenzertifikaten gibt es nicht, diese Kombination ist produktiv im Einsatz.

Gruß,
Patrick

koehlerbv:
Reicht es für die Fehlermeldung nicht aus, dass im Security-Tab des Server-Dokuments angefordert worden ist, dass öffentliche Schlüssel explizit im DD aufgeführt sind (sprich, das andere Server-Dokument muss in das DD kopiert sein oder zumindest angelegt und sein Schlüssel übernommen worden sein)?
Ich habe hier einige Kundenverbindungen, bei denen das zwingend erforderlich ist.

Bernhard

ThomasHB:
Hallo Bernhard,

ja, allerdings... Und ich habe damals beim aufsetzen des 8.5er auch genau diese Einstellung getätigt. Er soll die Prüfung erzwingen.

Das ich das Serverdokument bzw. dessen Public Key jetzt entsprechend rüber ziehen muss war mir aber nicht ganz klar, offen gesagt.

Ich war eigentlich der Meinung, wenn ich das ServerID bzw. dessen SafeID Cross Zertifiziere, dann ist ihm das Gegenüber entsprechend bekannt...

Ich werde das mal versuchen, was er macht wenn ich das Enforce Check public Key abschalte...

Grüße,
Thomas

ThomasHB:
....Tatsache, das funktioniert so.

Finde ich aber etwas komisch, das man das so machen muss...

Denn zum einen ist ja der Server entsprechend Cross Zertifiziert und dieser Server steht auch noch in den OtherDomainServers und ist damit Lese Berechtigt auf das DD...

Irgendwie will ich den Hintergrund noch nicht verstehen...

Das würde ja letztlich bedeuten, das ich mit Kunde X die ID des Server Dokuments tauschen muss, also das was Du auch schon sagtest, Bernhard.
Wie ist das denn Sicherheitstechnisch zu sehen?

Grüße,
Thomas

Navigation

[0] Themen-Index

[#] Nächste Seite