Autor Thema: Cross-Zertifizierung im Client automatisieren  (Gelesen 4388 mal)

Offline SD

  • Aktives Mitglied
  • ***
  • Beiträge: 164
Cross-Zertifizierung im Client automatisieren
« am: 02.03.12 - 17:19:43 »
Hallo!

Ich habe eine Frage zu Cross-Zertifizierungen. Vielleicht hatte hier ja schonmal jemand ein ähnliches Problem.

Problemstellung:
Es gibt hier in einer Umgebung verschiedene Organisations, bzw. genauer verschiedene Country-Suffixes.
Es gibt z.B. Server mit O=Acme/C=DE und Server mit O=Acme/C=US, aber auch Benutzer mit z.B. /O=Acme/C=NL oder /O=Acme/C=CH, die dann auf diesen Servern arbeiten.

Damit die Server miteinander kommunizieren können, lege ich die Cross-Zertifikate im Domino Directory an. Damit die Clients auf die Server können, müssen die aber wohl Cross-Zertifikate im lokalen names.nsf haben. Das ist nun ein wenig nervig, da dann jeder Client beim ersten Serverzugriff auf "Ja" klicken muss. Wenn er mal auf einen Server in einem anderen Land zugreifen will, muss er nochmal auf "Ja" drücken.

Ich würde das nun gerne automatisieren. Sprich ich würde gerne in die Client-Adressbücher von vorneherein die Cross-Zeritifikate zu allen möglichen Server-Certifiern hineinpumpen. Die Cross-Certify-Dokumente anlegen kriege ich auch bereits hin. Ich habe nun allerdings das Problem, dass diese im Feld Certificate_NoEnc das eigentliche Zertifikat abspeichern. Da steht dann sowas wie "0400AE01 AB6BB2F7 24G0......" und zwar leider, leider bei jedem Benutzer etwas anderes. Gibt es eine Möglichkeit diesen Key selbst zu berechnen? Irgendwie aus dem Private Key des Benutzers und dem Public Key des Certifiers oder sowas? Ich weiß leider nicht aus was sich dieses Certificate_NoEnc zusammensetzt.  :-:

Gruß
Stefan

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Cross-Zertifizierung im Client automatisieren
« Antwort #1 am: 02.03.12 - 19:10:19 »
Wie Du richtig erkannt hast, berechnet sich das Cross-zertifikat aus der User- id... Was Du mal probieren kannst ist: erstelle mal ein cross- certificate auf höchster ebene (hast Du ja wahrscheinlich schon im domino- directory, nur für die falsche Richtung), also ohne dass user involviert wären... Wenn Du dieses Top- Level Cross- Zertifikat ins user- adressbuchnkopierst, dann sollte das auch funktionieren...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline blizzard

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.183
  • Geschlecht: Männlich
  • Admin from hell :-)
Re: Cross-Zertifizierung im Client automatisieren
« Antwort #2 am: 02.03.12 - 21:09:15 »
Ja, du solltest nen TopLevel Cross machen und dieses dann per Security Policy an die User Clients verteilen.

Andere Frage: Wie kommt man auf die bescheuerte Idee das ganze so zu planen und so zu machen? Ich würde (wenn politisch möglich) alles mal über den Haufen werfen und konsolidieren. Sprich eine Domäne und die Server und User per OU zu sortieren.
Grüße Matthias :-)

***********************************
2 x Ironport C350 im Cluster
2500 8.5.3 User auf Win7 x64
43 8.5.3 Server
250 Blackberry User
50 Traveler User
Sametime 8.5.2
Quickr 8.5.1
Connections 3.0.1
Panagenda ClientManagement
Content Collector MailboxManagement
eDiscovery für Compliance Mailarchivierung
iOffice CTI mit zusätzl. Softphone
**************************************

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Cross-Zertifizierung im Client automatisieren
« Antwort #3 am: 03.03.12 - 00:12:39 »
Hallo!

Ich habe eine Frage zu Cross-Zertifizierungen. Vielleicht hatte hier ja schonmal jemand ein ähnliches Problem.

Problemstellung:
Es gibt hier in einer Umgebung verschiedene Organisations, bzw. genauer verschiedene Country-Suffixes.
Es gibt z.B. Server mit O=Acme/C=DE und Server mit O=Acme/C=US, aber auch Benutzer mit z.B. /O=Acme/C=NL oder /O=Acme/C=CH, die dann auf diesen Servern arbeiten.
Sorry, dass ich jetzt nochmal nachfrage, aber meinst Du nun unterschiedliche Domains, oder nur unterschiedliche Cs bzw. Os? Wenn sie aller in der gleichen Domain sind (also alle vom gleichen Certifier abstammen), sollte eine Cross-Zertifizierung IIRC nicht notwendig sein.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Cross-Zertifizierung im Client automatisieren
« Antwort #4 am: 03.03.12 - 08:00:16 »
@m3: die können gar nicht alle vom gleichen cErt abstammen, weil sie alle ein anderes Länderkürzel haben...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline SD

  • Aktives Mitglied
  • ***
  • Beiträge: 164
Re: Cross-Zertifizierung im Client automatisieren
« Antwort #5 am: 05.03.12 - 10:04:48 »
Hallo,

ja, dadurch dass es unterschiedliche Cs sind, sind alle user aus den verschiedenen Ländern von unterschiedlichen Certifiern abgeleitet.

Die Tips werde ich mir mal anschauen, danke dafür.

Und ja, die Country-Suffixes wegzukegeln werde ich mir auch anschauen. Es ist mir eh ein bisschen schleierhaft, was dieses Feature überhaupt soll. Hrmpf.

Offline blizzard

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.183
  • Geschlecht: Männlich
  • Admin from hell :-)
Re: Cross-Zertifizierung im Client automatisieren
« Antwort #6 am: 05.03.12 - 10:41:01 »
Die Country Zugehörtigkeiten machen vielleicht schon Sinn, aber nicht so.

Wie wärs mit so einer Struktur:
Max Mustermann/OU/O

Dann kannst via OU immer noch schön nach Land zertifizieren und hast kein so ge-eiere mehr. Die Server kannst du dann direkt auf O-Eben zulassen oder auch in dem jeweiligen Land.
Grüße Matthias :-)

***********************************
2 x Ironport C350 im Cluster
2500 8.5.3 User auf Win7 x64
43 8.5.3 Server
250 Blackberry User
50 Traveler User
Sametime 8.5.2
Quickr 8.5.1
Connections 3.0.1
Panagenda ClientManagement
Content Collector MailboxManagement
eDiscovery für Compliance Mailarchivierung
iOffice CTI mit zusätzl. Softphone
**************************************

Offline SD

  • Aktives Mitglied
  • ***
  • Beiträge: 164
Re: Cross-Zertifizierung im Client automatisieren
« Antwort #7 am: 05.03.12 - 11:26:45 »
Ja, schöner wäre das.

Allerdings haben die User und die Server dann doch weiterhin eine unterschiedliche O, oder nicht? Die User haben /Acme, die Server haben /Acme/DE oder /Acme/US.

Da hätten wir doch im Grunde nichts gewonnen, oder sehe ich das falsch?

Driri

  • Gast
Re: Cross-Zertifizierung im Client automatisieren
« Antwort #8 am: 05.03.12 - 11:56:40 »
Matthias meint das so :

User/DE/Acme bzw. User/US/Acme.

Du ziehst das Country-Kürzel also einfach auf OU-Ebene. Somit stammen dann alle User und Server von der selben Organisation ab.

Offline SD

  • Aktives Mitglied
  • ***
  • Beiträge: 164
Re: Cross-Zertifizierung im Client automatisieren
« Antwort #9 am: 05.03.12 - 12:06:24 »
Ja, das dachte ich mir schon so. Allerdings müssen wir dann die Server umzertifizieren und das wird kein Spaß. Das sind über 20 Kisten, rund 1000 User auf der ganzen Welt und eine dreistellige Zahl an Applikationen. Das geht nicht mal so eben nebenher. :-\

Die Option dürfte leider flach fallen.

Driri

  • Gast
Re: Cross-Zertifizierung im Client automatisieren
« Antwort #10 am: 05.03.12 - 13:41:18 »
Das müßt ihr wissen. Der einmalige Aufwand ist sicherlich nicht ohne und das sollte auch gut geplant werden. Dafür spart ihr natürlich beim täglichen Aufwand in der Administration und ich halte das Konstrukt auch für "stabiler" und auf jeden Fall wartungsfreundlicher.

Wir haben eine Rezertifizierung unserer kompletten Infrastrukur vor ca. 7 Jahren durchgemacht (wg. Fusion). Wir hatten zwar alle relevanten Server und User auch vorher schon in einer Cert-Struktur, aber wir haben die Chance auch direkt genutzt und die OU-Struktur aufgeräumt und den aktuellen Gegebenheiten angepaßt. Das erspart uns heute z.B. gerade bei Berechtigungen einigen Aufwand in der Administration, da wir oft mit Wildcards arbeiten können.

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Re: Cross-Zertifizierung im Client automatisieren
« Antwort #11 am: 05.03.12 - 18:29:47 »
@m3: die können gar nicht alle vom gleichen cErt abstammen, weil sie alle ein anderes Länderkürzel haben...
Ich Depp. Ja natürlich.  ::)
Ich schließe mich der Empfehlung, hier umzuzertifizieren an.
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz