Problem mit SSL Zertifikatsverlängerung / Renewal

[gere]

Hallo zusammen,

Da unser SSL-Zertifikat für den Traveler demnächst ausläuft wollten wir es verlängern lassen. Wir haben dabei exakt die Anleitung von IBM befolgt, d.h.

1. *.kyr- und *.sth-file ins lokale data-Verzeichnis kopieren
2. certsrv-Datenbank auf dem Traveler öffnen, "View&Edit key Rings" und das lokale *.kyr-File auswählen
3. Option "2 - Create Certificate Request" auswählen
4. Oben den Pfad zum lokalen *.kyr-File eintragen und "Paste into form..." auswählen
5. Den String kopieren und auf der Website von Thawte in das Renewal-Formular einfügen

Das Problem ist jetzt, dass Thawte beim Eintragen des Zertifikats schon eine Fehlermeldung bringt. Beim erneuten Absenden des Requests wird der String aber akzeptiert. Die von Thawte dann gelieferte *.cer Datei passt aber irgendwie nicht zu unserem Zertifikat und ist von einer neuen "unbekannten" CA ausgestellt.

Beim Import des Keys in die certsrv.nsf erscheint dann die folgende Warnung:

"Unrecognized certificate authority signature"

Wenn wir das Zertifikat trotzdem installieren und die *.kyr bzw. *.sth-Datei auf dem Traveler tauschen sowie den http neu starten, kommt auf allen mobilen Geräten eine Meldung, dass der Aussteller des Zertifikats nicht vertrauenswürdig ist. So wie es aussieht handelt es sich hier nicht um eine Verlängerung, sondern um ein komplett neues Zertifikat!??

Wer kann uns hier weiterhelfen?

Danke!

Gruss Gere

[umi]

Hallo
Das CA / Root Cert von Thawte ist schon im Keyring drin nehme ich an.
Könnte es sein, dass das neue Cer mit SHA2 erstellt wurde.

[gere]

Hallo Urs,

Folgende Root Zertifikate von Thawte sind momentan in unserem Keyring:

Thawte SSL CA
Thawte Primary Root CA
Thawte Premium Server CA
Thawte Server CA

Wir haben versucht, die neue CA (thawte Primary Root CA - G2) von der Thawte website zu installieren, aber das ist eine Self-Signed-CA und beim Import erscheint die Fehlermeldung, dass das Zertifikat nicht importiert werden kann, weil der Aussteller nicht in den bekannten CAs enthalten ist.
Genau diese CA hat aber unser SSL-Zertifikat verlängert! Wie bekommen wir diese CA denn in den Keyring?

Wo kann man denn erkennen, ob das Zertifikat mit SHA2 erstellt wurde?

Danke + Gruss,
Gere

[umi]

Moin
https://www.thawte.com/roots/
Thawte Primary Root CA – G2 (ECC)
Description: This root CA is not used today. It is intended for use in the future for SSL and Code Signing services needing an ECC encryption algorithm. This root should be included in root stores.

Evtl. Support von Thawte ?

[Pfefferminz-T]

Das Zertifikat mal in den IE importieren, dann kannst Du die Details über die Optionen -> Internet certificates anschauen. Da siehst Du, ob das SHA2 ist oder nicht und die siehst auch die root und intermediate certificate, die benötigt werden.

Grüsse,
Thorsten

[gere]

Hallo zusammen,

Also mir scheint, dass Thawte mit unserem SSL-Zertifikat, das wir auf deren Website per Copy & Paste (im PKCS-Format) einfügen, ein komplett neues Zertifikat ausstellt anstatt ein Renewal anzustoßen. Man kann diese Option ja auf der Thawte-Website auswählen (Neu oder Renewal). Wenn wir den Request dann absenden, erscheint zunächst untige Fehlermeldung:



Wenn wir dann unseren Request erneut absenden, funktioniert es aber fehlerfrei. Nur das Zertifikat, das wir von Thawte anschließend wieder zurückkommen, können wir nicht in unseren Keyring importieren.

Ursprünglich hatten wir dieses SSL-Zertifikat aber von Thawte erstellen lassen.

Gruss Gere

[gere]

@Thorsten,

Ich habe das neu ausgestellte Zertifikat in den IE importiert. Es wird folgendes angezeigt:

Aussteller: Thawte SSL CA - G2
Signaturhashalgorithmus: SHA256
Zertifizierungspfad: thawte ---> thawte SSL CA - G2 ---> unsere Domain

Gruss Gere
 

[Pfefferminz-T]

SHA256 = SHA2, Domino supported aber bisher nur SHA1. Das Zertifikat wirst Du (leider) nicht zum Laufen bringen. Für den Support von SHA2 und TLS gibt es schon einen Enhancement Request mit einer sehr grossen Anzahl an Firmen, die sich da eingehängt haben, leider gab es bisher keine Zeichen des Herstellers dass dieser umgesetzt wird.

Lösungsmöglichkeiten:
- einen Reverse Proxy vor den Traveler setzen und dort die Terminierung machen lassen.
- bei Thawte ein SHA1-Zertifikat anfragen

Keine Lösung ist der IHS, da der IHS bei Traveler nicht unterstützt wird.

Gruß,
Thorsten

[gere]

Das ist ja gerade das Komische: Bei unserem aktuell installierten SSL-Zertifikat wird folgendes im IE angezeigt:

- Aussteller: Thawte SSL CA (beim Zertifikat-Renewal, das wir von Thawte bekommen haben: Thawte SSL CA - G2)
- Signaturhashalgorythmus: SHA1  (beim Zertifikat-Renewal, das wir von Thawte bekommen haben: Thawte SHA256)
- Zertifizierungspfad: thawte ---> thawte SSL CA ---> Unsere Domain (beim Zertifikat-Renewal das wir von Thawte bekommen haben: thawte ---> thawte SSL CA G2 ---> unsere Domain)

Das zeigt doch, dass Thawte uns hier ein komplett neues Zertifikat ausstellt und nicht unser altes Zertifikat verlängert, obwohl wir dieses direkt aus dem *.kyr-File von Traveler extrahiert und über die Thawte-Website als Renewal eingereicht haben.

Was können wir hier denn noch machen? Bei Thawte haben wir bereits reklamiert...

Gruss Gere

[Pfefferminz-T]

Das hatte ich bei schon bei mehreren Kunden, dass neue Zertifikate ausgestellt wurden. Ich weiß nicht, ob da überhaupt eine Verlängerung möglich ist bzw. ob die von den Anbietern gemacht wird... eine Verlängerung ist u.U. aufwendiger während eine Neuerstellung automatisiert ablaufen kann.

[Tannibal]

@Thorsten: Bist du dir sicher, dass Traveler mit IHS nicht supportet ist? Habe dazu nichts gefunden, außer dass ein paar Fragen in einer Q&A vorkommen:
http://www-01.ibm.com/support/docview.wss?uid=swg27039743

[Pfefferminz-T]

@Tannibal: Habe ich so von einem der Entwickler auf der Connect gehört... eine andere Quelle dazu habe ich nicht. Allerdings habe ich mittlerweile auch im Developerworks verschiedene Problemmeldungen dazu gesehen mit der Bitte einen PMR aufzumachen. Scheint also doch im Support zu sein, obwohl es auf keiner der Präsentationen der Connect 2013 und 2014 auftaucht...

Allerdings umgehen die meisten meiner Kunden dieses Thema mit einem vorgeschalteten Load-Balancer vor der Traveler-Server-Farm. Für kleinere Kunden ohne Hochverfügbarkeit aber sicherlich eine, anscheinend doch unterstützte, Lösung.

Gruß,
Thorsten