Domino 9 und frühere Versionen > ND9: Administration & Userprobleme
neues Zertifikat im IE ok, im FF aber nicht?
schroederk:
Hallo,
ich habe nach einigen Startschwierigkeiten aus unserem Wildcard-Zertifikat ein Keyring erstellen können.
Gemäß Anleitung unter: http://www-10.lotus.com/ldd/dominowiki.nsf/dx/3rd_Party_SHA-2_with_OpenSSL_and_kyrtool
Für mich war es ein wenig irreführend, dass unter Punkt 6 eine server.txt erstellt werden soll:
--- Zitat ---type server.key server.crt intermediate.crt root.crt > server.txt
--- Ende Zitat ---
Also nur mit 3 CRT-Dateien, aber bei der Prüfung 4 Zertifkate genannt werden:
--- Zitat ---INFO: Successfully read 4 certificates
--- Ende Zitat ---
Letztlich habe ich unsere CA zu Hilfe gebeten und diese hat mir das fehlende Zertifkat zur Verfügung gestellt.
Zudem soll der Keyring wie folgt erstellt werden:
--- Zitat ---kyrtool =c:\lotus\notes\notes.ini import all -k c:\lotus\notes\data\keyring.kyr -i c:\lotus\notes\data\ssl\server.txt
--- Ende Zitat ---
Dieser wird also schon direkt im Data-Verzeichnis abgelegt.
Sollte der Dateiname (also z.B. keyring.kyr) noch nicht existieren, dann erscheint auch eine Fehlermeldung. Warum also nachher mitteilen, dass noch der alte Keyring mit dem neuen überschrieben werden muss?
Ich habe die Dateien (kyr und sth) im heruntergefahrenen Domino ohne Fehlermeldung erzeugt und vorher im Serverdokument unter Ports / Internet Ports / SSL key file name den zukünfitgen Namen angegeben.
Nach dem Neustart vom Domino wird mir im IE das Zertifkat angezeigt. Die korrekte CA genannt und auch das korrekte Ablaufdatum.
Aber der FF meldet, dass die Seite keine Identitätsdaten zur Verfügung stellen würde.
Habe ich noch etwas falsch gemacht oder vergessen?
schroederk:
Ich habs rausgefunden. ;D
Es lag an den erlaubten SSL Cipher Einstellungen.
Ich hatte zunächst nur
--- Zitat ---RC4 encryption with 128-bit key and MD5 MAC
RC4 encryption with 128-bit key and SHA-1 MAC
--- Ende Zitat ---
erlaubt.
Nachdem ich nun testweise noch
--- Zitat ---AES encryption with 128-bit key and SHA-1MAC
AES encryption with 256-bit key and SHA-1 MAC
--- Ende Zitat ---
hinzugefügt habe, funktioniert es jetzt auch im FF.
Allerdings bekomme ich jetzt vom SSLLabs.com nur noch ein C :-\ :'(
Pfefferminz-T:
Die AES-Cipher gelten seit der BEAST-Attack als unsicher... deshalb die schlechtere Bewertung.
Gruss,
Thorsten
schroederk:
Aber wenn ich nur die beiden RC4 ciphers erlaube, dann erhalte ich bei SSLLabs zwar ein B, was imho im Moment das höchstmögliche Ergebnis für einen Domino ist, aber der Firefox zeigt dann das Zertifikat nicht an (keine Identitätsdaten gefunden)
Welche ciphers erlaubt ihr denn und habt ihr dann auch die Probleme beim Firefox?
Pfefferminz-T:
Laut Präsentation von Dave Kern und Daniel Nashed auf der ConnectED wurden neue Ciphers angekündigt... bis dahin muss man abwägen: Wo steht der Domino Server (Intranet, Internet) und wie hoch ist das Risiko im jeweiligen Netz (wie sicher ist der Zugang physisch und logisch, wie wahrscheinlich ist es, dass sich ein Spezialist dort reinhackt)?
Nach dieser Risikoanalyse habe ich dann verschiedene Möglichkeiten:
- Domino-Server hinter Load-Balancer oder Reverse Proxy zur Erhöhung der Sicherheit (Cipher, TLS, Schutz vor Zugriff auf andere Ports auf Domino Server) und Hochverfügbarkeit (mehrere Domino Server oder mehrere Web-Server oder andere Services wie LDAP, IMAP, ...)
- Domino-Server direkt mit Ciphers AES und RC4
- Domino-Server direkt mit RC4
Im Firefox kann man einzelne Cipher auch deaktivieren:
about:config
Suche nach rc4 bzw. security.ssl3. -> True bedeutet der Cipher ist aktiviert... habt ihr RC4 u.U. deaktiviert?
Gruss,
Thorsten
P.S. In der Präsentation auf der ConnectED werden folgende Cipher empfohlen (Quelle: http://www.nashcom.de/nshweb/pages/lotusphere.htm)
SSL_RSA_WITH_AES_128_CBC_SHA
SSL_RSA_WITH_AES_256_CBC_SHA
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_3DES_EDE_CBC_SHA
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln