Autor Thema: SSL Zertifikat keyring  (Gelesen 3878 mal)

Offline ChristianW

  • Aktives Mitglied
  • ***
  • Beiträge: 203
SSL Zertifikat keyring
« am: 05.03.15 - 11:15:17 »
Hallo,
wir haben vor ca 2 Jahren eine Keyring-Datei erstellt, anschließend ein Zertifikat und dieses signieren lassen. Alles wunderbar.
Das Zertifikat ist auch noch gültig.
Jetzt ist es so, dass sich unser Firmenname geändert hat. Wir würden gerne unseren iNotes-Zugriff auf eine neue Domain verlegen und am besten zusätzlich noch über den alten Weg möglich sein.
Da aber in der Keyring-Datei das Feld "Organisation" den alten Firmennamen beinhaltet, kann ich hierüber kein neues Zertifikat erstellen.
Kann ich eine zweite Keyring-Datei erstellen? Oder den Firmennamen ändern?
Wie kann ich am besten vorgehen?


Christian

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: SSL Zertifikat keyring
« Antwort #1 am: 05.03.15 - 11:20:52 »
Keyrings kann man so viele erstellen wie man will... Einfach einen neuen mit den neuen Informationen erstellen, und den dann auf dem Server benutzen statt des alten.

Aber ACHTUNG: Wenn Du heute einen keyring erstellst, solltest Du einen aktuellen Hash- Algorythmus verwenden (SHA256), eine aktuelle Schlüssellänge (min. 2048, besser 4096) und auch TLS statt SSL, sonst kann in Kürze kein einziger Benutzer mehr auf Dein iNotes zugreifen, weil die Browser den Zugriff (wegen der Poodle- Attacke) nicht mehr zulassen...

Das wiederum heisst: Dein iNotes- Server muss zwangsläufig auf 9.0.1FP3 (oder höher, gibt es aktuell aber nicht) sein...

Also: Einfach keyring tauschen wird in Deinem Fall nicht helfen.

Den neuen Keyring musst Du dann über ein neues IBM- Tool namens "kyrtool" erstellen, und nicht mehr über die Datenbank.

Siehe diesen Link für offizielle Zertifikate und diesen Link für Self Signed Zertifikate
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline ChristianW

  • Aktives Mitglied
  • ***
  • Beiträge: 203
Re: SSL Zertifikat keyring
« Antwort #2 am: 05.03.15 - 11:36:29 »
Danke für die schnelle Antwort... dann schau ich mir mal die Links an.

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: SSL Zertifikat keyring
« Antwort #3 am: 05.03.15 - 13:16:28 »
Vielleicht auch nicht unwichtig... Du schreibst, dass der Server über den alten und den neuen Domänennamen verfügbar sein soll. Im Domino kannst Du aber das Zertifikat nur auf einen der beiden Hostnamen ausstellen! Die Nutzer des anderen Namens werden dann im Web-Browser eine Warnmeldung bekommen, da das zurückgelieferte Zertifikat nicht mit dem angefragten Hostnamen übereinstimmt.

Gruß,
Thorsten
Grüsse,
Thorsten

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: SSL Zertifikat keyring
« Antwort #4 am: 05.03.15 - 13:51:52 »
Richtig. Wichtiger Hinweis, Danke dafür.
Mehrere verschiedene zertifikate für verschiedene Domains gehen nur, wenn man für jede Domain eine eigene IP- Adresse auf dem Domino hat (weil die Entscheidung für ein Zertifikat im Fall von Internet- Site- Dokumenten passiert, bevor die URL ausgelesen wird, und diese Entscheidung nur auf IP- Ebene gefällt werden kann.
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline umi

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.062
  • Geschlecht: Männlich
  • one notes to rule'em all, one notes to find'em....
    • Belsoft AG
Re: SSL Zertifikat keyring
« Antwort #5 am: 05.03.15 - 15:04:55 »
Moin

Oder man verwendet einen anständigen Proxy (Nginx, Apache) der SNI unterstützt für das SSL zeugs. Dann klappts auch mit nur 1er IP.
Gruss

Urs

<:~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Jegliche Schreibfehler sind unpeabischigt
http://www.belsoft.ch
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~:>

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz