HCL Notes / Domino / Diverses > Administration & Userprobleme
Certstore issued
Peter Klett:
Hallo,
lange habe ich mich hier nicht mehr sehen lassen, aber heute habe ich eine Frage, die mir bestimmt beantwortet werden kann.
Auf meinem Domino betreibe ich eine private Webseite, bisher nur http. Doch da ich aus zuverlässiger Quelle gehört habe, dass es jetzt "ganz einfach" sein soll, ein Zertifikat einzubinden, habe ich nun beschlossen, es zu probieren. Was habe ich bisher getan?
Als erstes habe ich Server und Client auf Domino/Notes 14 aktualisiert
CertMgr gestartet, so dass die certstore.nsf erzeugt wird
Darin habe ich nun versucht, gemäß der HCL-Doku die relevanten Dokumente anzulegen.
U.a. habe ich ein TLS Credentials Dokument angelegt und "Submit Request" gestartet
Das Dokument hat nun einen Status ganz oben im Dokument (Main, 1. Zeile) "Issued", aber in der 4. Zeile ein "Valid". Auf der zweiten Seite sind auch diverse Schlüssel eingetragen (PEM)
Irgendwie erwarte ich, dass ich noch Schlüssel oder eine Datei importieren muss. Bekomme ich die noch per Mail, oder muss ich den Schlüssel, der unter PEM eingetragen ist, irgendwohin speichern und importieren? Falls ja alles, oder nur Teile? Denn da sind mehrere Blöcke drin.
Habe Port 443 dem Domino zugeordnet und komme auch schon fast hin. Beim Öffnen über HTTPS bekomme ich ein SEC_ERROR_UNKNOWN_ISSUE, und wenn ich mir das Zertifikat anschaue, ist das von G DATA, von denen läuft auf meinem Server eine Antivirensoftware.
Ich gebe zu, dass ich von diesem Thema überhaupt keine Ahnung habe, bekomme schon Pickel, wenn ich nur daran denke. Aber wäre schon schön, wenn ich das zum Laufen bekäme. Vermutlich fehlt auch garnicht wirklich viel, außer Verständnis :-D
BTW die betroffene Seite ist rein Anonymous ohne irgendwelche Userdaten, daher habe ich bisher keine Notwendigkeit für diesen Zertifikats-Aufriss gesehen, aber neulich habe von einem Benutzer gehört, dass ein Download vom Avira-Browser abgelehnt wurde, weil es keine https-Seite ist (obwohl von der http-Seite ein Link auf einem https-Server gestartet wird).
Bin für jeden Tipp dankbar!
EDIT: Nachdem ich nun auf dem Server den Port 443 auf einen anderen umgestellt und entsprechend im Router zugeordnet habe, komme ich garnicht mehr auf die Seite. Glaube aber, dass das nicht falsch ist, denn das G DATA Zertifikat hat m.E. da garnichts zu suchen ...
eknori (retired):
https://www.hcl-software.com/blog/domino/tutorial-how-to-secure-domino-using-certmgr-task-letsencrypt/
https://opensource.hcltechsw.com/domino-cert-manager/
Christian Kröll:
Hallo Peter,
da du wohl ein LetsEncryptCertifikat angefordert hast, musst Du auch nichts mehr in das Zertifikat importieren. Das ist nur nötig, falls Du ein Zertifikat bei einem Dienstleister bestellt hast.
wenn Deine Antivirus-Software am Client den https-Verkehr scant, setzt sie sich zwischen die Verbindung Server-Client. Grund ist, dass zB ein Download aus dem Web nicht erst auf deinem Rechner gespeichert wird und dann erst auf Viren geprüft wird. Die Software taucht dann als eigener CA auf. Das kann dann "G Data", "Bitdefender", "R3" oder ein anderer CA Name sein. Als Test einfach mal mit dem Handy auf deine Seite gehen, da dürfte der Name anders sein oder im Antiviren-Programm des Clients den https-scan abschalten.
Ob das LetsEncyptCertifikat verwendet wird, kannst Du auch über das Gültigkeitsdatum prüfen. Sollte zum Datum im Certificate Store identisch sein.
Woher nun aber das SEC_ERROR_UNKNOWN_ISSUE kommt, kann ich Dir nicht sagen. BTW: ISSUE oder ISSUER?
Du schreibst:
--- Zitat ---obwohl von der http-Seite ein Link auf einem https-Server gestartet wird
--- Ende Zitat ---
Vielleicht liegt ja hier die Ursache, weil dein neues Zertifikat ein anderes ist als das auf dem https-Server und der Browser deswegen ein Problem mit dem Issuer hat. Aber das ist nur geraten!!!
Peter Klett:
Vielen Dank für die Antworten, Doku hatte ich schon einiges gelesen, aber keine war so gut verständlich wie das Tutorial.
Danke auch für den Hinweis, dass nichts zu im- oder exportieren ist. also sollte es eigentlich so aus der Box heraus funktionieren.
Habe nun die Credentials gelöscht, neu angelegt und neu angefordert. Der DNS-A-record sollte nach meinem Verständnis in Ordnung sein, ist ja nur eine Zuordnung einer Domain zu einer IP-Adresse. Domain stimmt, IP auch.
Habe dann am Router die 443 auf die 443 umgeleitet und im Serverdokument https auf 443 gesetzt (enabled war es schon), erhalte dann wieder den Zertifikatsfehler mit Ausweis des G DATA Zertifikats, Gültigkeitsdauer 1000 Jahre.
Also wieder rückwärts, Router gibt 443 weiter auf 444, Serverdokument auf 444 geändert. Daamit komme ich nicht weiter.
Ich sehe zwei Möglichkeiten:
1. irgendetwas muss am Server noch eingerichtet werden, damit er überhaupt auf https hört
2. das Zertifikat ist nicht korrekt eingebunden, es zeigt auch nach dem neuen Versuch ein "Valid" im unteren Status, oben in der ersten Zeile steht wieder "Issued"
Das mit dem Link von der http Seite auf eine andere https-Seite ist hier nicht relevant, der https-Server läuft ganz woanders, war nur eine Erklärung, warum ich schon gerne https für den Domino nutzen würde
Gibt es irgendeinen trick, an den Grund des "Issued" heranzukommen?
Aus dem Log kann ich noch diese Fehlermeldung liefern
12.03.2024 13:21:44 HTTP Server: Error - Unable to Bind port 443, port may be in use or user needs net_privaddr privilege
Das ist vermutlich der G DATA, der auf den 443 lauscht, also wohl korrekt, den Port auf 444 umgebogen zu haben
Christian Kröll:
Der Status "Issued", bei unserer deutschen Maske "ausgegeben" und der Status "Valid" ist richtig.
Das Zertifikat hast Du sicherlich im Credential Store ja auch schon mit "Examine internet certificates" geprüft. Da steht die Zertifikatskette und nach Auswahl eines Eintrags die Details. Ich gehe davon aus, dass das alles passt?
Ich würde in der G-Data den https-Scan mal kurz unterbrechen und schauen, ob dann der Verkehr über 443 überhaupt klappt. Im Serverdokument hast Du sicher den Full Qualified Internet host name gesetzt? Kannst Du an den Server ohne den Router einen telnet auf hostname + Port schicken?
Kann ja nur eine blöde Kleinigkeit sein...
Erstmal trotzdem einen schönen Abend Peter!
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln