Autor Thema: SSL Zertifikat ändern  (Gelesen 2829 mal)

Offline bb1743

  • Frischling
  • *
  • Beiträge: 6
SSL Zertifikat ändern
« am: 30.04.14 - 15:07:43 »
Hallo,

ich bzw. wir sind neu in der Domino-Welt und stehen gerade von einem (für uns) größeren Problem.
Das SSL Zertifikat von unserem Domino läuft am 04.05. ab und soll heute verlängert werden (Info kam rechtzeitig gestern zum Feierabend  ::))

Diverse Anleitungen später haben wir es nun geschafft das neu erstelle Zertifikat und den privaten Schlüssel mit XCA in eine .p12 zu exportieren und in das .kyr File zu importieren.

Jetzt ist es allerings so, dass das neue Zertifikat im Server Certificate Admin Programm angezeigt wird, allerdings auch das alte. Beim Zugriff auf unseren Webserver wird auch weiterhin nur das alte verwendet.

Wie bekommen wir jetzt den Server dazu das neue Zertifikat zu nehmen?


Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: SSL Zertifikat ändern
« Antwort #1 am: 30.04.14 - 15:30:14 »
Die neue kyr-Datei und sth-Datei habt ihr in das Domino Datenverzeichnis abgelegt und im Serverdokument (bzw. Internet site) steht der Name der kyr-Datei richtig drin und ihr habt den http-Task neu gestartet?

Das sollte eigentlich ausreichen um das neue Zertifikat zu aktivieren.

Gruß,
Thorsten
Grüsse,
Thorsten

Offline bb1743

  • Frischling
  • *
  • Beiträge: 6
Re: SSL Zertifikat ändern
« Antwort #2 am: 30.04.14 - 15:45:56 »
Wir haben die bereits vorhande .kyr genommen und dort das verlängerte Zertifikat inkl. Privatem Key mithilfe von XCA und ikeyman hinzugefügt.
HTTP Dienst ist auch neu gestartet.

Offline bb1743

  • Frischling
  • *
  • Beiträge: 6
Re: SSL Zertifikat ändern
« Antwort #3 am: 02.05.14 - 07:54:17 »
Da es leider mit dem Import nicht klappte, haben wir es auf anderem Weg versucht.
Über den Update Request im Server Certificate Admin haben wir den Request Code beim Provider (Domain Factory) eingefügt und die Antwort im Domino.
Lt. Domino und Domain Factory soll der Vorgang erfolgreich abgeschlossen sein, im Domino ist nun auch beim KeyRing die Verlängerung zu sehen, jedoch nicht wenn die Seite über HTTPS aufgerufen wird, hier erscheint nach wie vor die alte Gültigkeit (Trotz neustart des Servers).

Woran liegt es bzw. wo können wir ansetzen um das Zertifikat nun auch zu nutzen?

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: SSL Zertifikat ändern
« Antwort #4 am: 02.05.14 - 08:23:57 »
Also habt Ihr nun rausgefunden, wie man es "normalerweise" macht. Habt Ihr denn auch die kyr und sth auf dem Server ausgetauscht?
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline bb1743

  • Frischling
  • *
  • Beiträge: 6
Re: SSL Zertifikat ändern
« Antwort #5 am: 02.05.14 - 08:41:02 »
Wie ich gerade herausgehört habe, wurde der Prozess direkt per RDP auf dem Server durchgeführt, daher sind die Dateien auf dem Server selber verändert worden.

Offline bb1743

  • Frischling
  • *
  • Beiträge: 6
Re: SSL Zertifikat ändern
« Antwort #6 am: 02.05.14 - 09:07:55 »
Haben die Prozedur nun noch einmal exakt wie in der IBM-Anleitung beschrieben durchgeführt, Dateien auf den Server kopiert und noch einmal den KeyRing zur Anzeige ausgewählt. Hier wird auch die neue Gültigkeit angezeigt.

Allerdings kam nun beim starten in der Domino Console die Meldung "ssldisabledexport ciphers", welche wir nach dieser Anleitung (http://www-01.ibm.com/support/docview.wss?uid=swg21095876) in den Griff bekommen haben.

Allerdings wird nach wie vor das alte Zertifikat beim Zugriff auf die Seite angezeigt...

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: SSL Zertifikat ändern
« Antwort #7 am: 02.05.14 - 09:36:53 »
WO liegen die kyr und sth- Dateien GENAU (nenne mir mal den EXAKTEN Speicherort. Denn die Anzeige in der Certsrv sagt GAR NIX darüber, ob der Server die Dateien findet oder nicht. Und wenn Ihr das per "RDP" auf dem Server gemacht habt, dann muss dort ein Admin- Client oder zumindest ein Notes- Client installiert sein. Das widerum heisst, Ihr habt mindestens 2 Data- Verzeichnisse...

Deshalb meine Nachfrage: Wenn die certsrv bestätigt, dass alles richtig ist, dann MUSS das auch klappen, es sei denn, die Dateien liegen am falschen Ort...

Ach ja: Was genau ist denn im Serverdokument eingetragen, welche kyr er verwenden soll?
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline bb1743

  • Frischling
  • *
  • Beiträge: 6
Re: SSL Zertifikat ändern
« Antwort #8 am: 02.05.14 - 11:13:09 »
Und wenn Ihr das per "RDP" auf dem Server gemacht habt, dann muss dort ein Admin- Client oder zumindest ein Notes- Client installiert sein. Das widerum heisst, Ihr habt mindestens 2 Data- Verzeichnisse...

 ::) DANKE!! Genau das war das Problem an der Sache.... haben es an die falsche Stelle kopiert.
Uns war nicht klar, dass es zwei Installationsverzeichnisse geben kann/muss in dieser Konstellation.

Es läuft jetzt alles wunderbar, Danke nochmal für die Hilfe bzw. den Wink mit dem Pfahl ;-)

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: SSL Zertifikat ändern
« Antwort #9 am: 02.05.14 - 11:22:41 »
Schön... im übrigen war schon die ERSTE Nachfrage von Thorsten (Pfefferminz-T) GENAU darauf gerichtet... Du hättest Euch und allen beteiligten also viel Zeit sparen können...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz