Domino 9 und frühere Versionen > ND8: Administration & Userprobleme

Problem mit SSL Zertifikatsverlängerung / Renewal

(1/3) > >>

gere:
Hallo zusammen,

Da unser SSL-Zertifikat für den Traveler demnächst ausläuft wollten wir es verlängern lassen. Wir haben dabei exakt die Anleitung von IBM befolgt, d.h.

1. *.kyr- und *.sth-file ins lokale data-Verzeichnis kopieren
2. certsrv-Datenbank auf dem Traveler öffnen, "View&Edit key Rings" und das lokale *.kyr-File auswählen
3. Option "2 - Create Certificate Request" auswählen
4. Oben den Pfad zum lokalen *.kyr-File eintragen und "Paste into form..." auswählen
5. Den String kopieren und auf der Website von Thawte in das Renewal-Formular einfügen

Das Problem ist jetzt, dass Thawte beim Eintragen des Zertifikats schon eine Fehlermeldung bringt. Beim erneuten Absenden des Requests wird der String aber akzeptiert. Die von Thawte dann gelieferte *.cer Datei passt aber irgendwie nicht zu unserem Zertifikat und ist von einer neuen "unbekannten" CA ausgestellt.

Beim Import des Keys in die certsrv.nsf erscheint dann die folgende Warnung:

"Unrecognized certificate authority signature"

Wenn wir das Zertifikat trotzdem installieren und die *.kyr bzw. *.sth-Datei auf dem Traveler tauschen sowie den http neu starten, kommt auf allen mobilen Geräten eine Meldung, dass der Aussteller des Zertifikats nicht vertrauenswürdig ist. So wie es aussieht handelt es sich hier nicht um eine Verlängerung, sondern um ein komplett neues Zertifikat!??

Wer kann uns hier weiterhelfen?

Danke!

Gruss Gere

umi:
Hallo
Das CA / Root Cert von Thawte ist schon im Keyring drin nehme ich an.
Könnte es sein, dass das neue Cer mit SHA2 erstellt wurde.

gere:
Hallo Urs,

Folgende Root Zertifikate von Thawte sind momentan in unserem Keyring:

Thawte SSL CA
Thawte Primary Root CA
Thawte Premium Server CA
Thawte Server CA

Wir haben versucht, die neue CA (thawte Primary Root CA - G2) von der Thawte website zu installieren, aber das ist eine Self-Signed-CA und beim Import erscheint die Fehlermeldung, dass das Zertifikat nicht importiert werden kann, weil der Aussteller nicht in den bekannten CAs enthalten ist.
Genau diese CA hat aber unser SSL-Zertifikat verlängert! Wie bekommen wir diese CA denn in den Keyring?

Wo kann man denn erkennen, ob das Zertifikat mit SHA2 erstellt wurde?

Danke + Gruss,
Gere

umi:
Moin
https://www.thawte.com/roots/
Thawte Primary Root CA – G2 (ECC)
Description: This root CA is not used today. It is intended for use in the future for SSL and Code Signing services needing an ECC encryption algorithm. This root should be included in root stores.

Evtl. Support von Thawte ?

Pfefferminz-T:
Das Zertifikat mal in den IE importieren, dann kannst Du die Details über die Optionen -> Internet certificates anschauen. Da siehst Du, ob das SHA2 ist oder nicht und die siehst auch die root und intermediate certificate, die benötigt werden.

Grüsse,
Thorsten

Navigation

[0] Themen-Index

[#] Nächste Seite