Domino 9 und frühere Versionen > ND8: Administration & Userprobleme
Cross-Zertifizierung im Client automatisieren
SD:
Hallo!
Ich habe eine Frage zu Cross-Zertifizierungen. Vielleicht hatte hier ja schonmal jemand ein ähnliches Problem.
Problemstellung:
Es gibt hier in einer Umgebung verschiedene Organisations, bzw. genauer verschiedene Country-Suffixes.
Es gibt z.B. Server mit O=Acme/C=DE und Server mit O=Acme/C=US, aber auch Benutzer mit z.B. /O=Acme/C=NL oder /O=Acme/C=CH, die dann auf diesen Servern arbeiten.
Damit die Server miteinander kommunizieren können, lege ich die Cross-Zertifikate im Domino Directory an. Damit die Clients auf die Server können, müssen die aber wohl Cross-Zertifikate im lokalen names.nsf haben. Das ist nun ein wenig nervig, da dann jeder Client beim ersten Serverzugriff auf "Ja" klicken muss. Wenn er mal auf einen Server in einem anderen Land zugreifen will, muss er nochmal auf "Ja" drücken.
Ich würde das nun gerne automatisieren. Sprich ich würde gerne in die Client-Adressbücher von vorneherein die Cross-Zeritifikate zu allen möglichen Server-Certifiern hineinpumpen. Die Cross-Certify-Dokumente anlegen kriege ich auch bereits hin. Ich habe nun allerdings das Problem, dass diese im Feld Certificate_NoEnc das eigentliche Zertifikat abspeichern. Da steht dann sowas wie "0400AE01 AB6BB2F7 24G0......" und zwar leider, leider bei jedem Benutzer etwas anderes. Gibt es eine Möglichkeit diesen Key selbst zu berechnen? Irgendwie aus dem Private Key des Benutzers und dem Public Key des Certifiers oder sowas? Ich weiß leider nicht aus was sich dieses Certificate_NoEnc zusammensetzt. :-:
Gruß
Stefan
Tode:
Wie Du richtig erkannt hast, berechnet sich das Cross-zertifikat aus der User- id... Was Du mal probieren kannst ist: erstelle mal ein cross- certificate auf höchster ebene (hast Du ja wahrscheinlich schon im domino- directory, nur für die falsche Richtung), also ohne dass user involviert wären... Wenn Du dieses Top- Level Cross- Zertifikat ins user- adressbuchnkopierst, dann sollte das auch funktionieren...
blizzard:
Ja, du solltest nen TopLevel Cross machen und dieses dann per Security Policy an die User Clients verteilen.
Andere Frage: Wie kommt man auf die bescheuerte Idee das ganze so zu planen und so zu machen? Ich würde (wenn politisch möglich) alles mal über den Haufen werfen und konsolidieren. Sprich eine Domäne und die Server und User per OU zu sortieren.
m3:
--- Zitat von: SD am 02.03.12 - 17:19:43 ---Hallo!
Ich habe eine Frage zu Cross-Zertifizierungen. Vielleicht hatte hier ja schonmal jemand ein ähnliches Problem.
Problemstellung:
Es gibt hier in einer Umgebung verschiedene Organisations, bzw. genauer verschiedene Country-Suffixes.
Es gibt z.B. Server mit O=Acme/C=DE und Server mit O=Acme/C=US, aber auch Benutzer mit z.B. /O=Acme/C=NL oder /O=Acme/C=CH, die dann auf diesen Servern arbeiten.
--- Ende Zitat ---
Sorry, dass ich jetzt nochmal nachfrage, aber meinst Du nun unterschiedliche Domains, oder nur unterschiedliche Cs bzw. Os? Wenn sie aller in der gleichen Domain sind (also alle vom gleichen Certifier abstammen), sollte eine Cross-Zertifizierung IIRC nicht notwendig sein.
Tode:
@m3: die können gar nicht alle vom gleichen cErt abstammen, weil sie alle ein anderes Länderkürzel haben...
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln