HCL Notes / Domino / Diverses > Administration & Userprobleme

Certstore issued

<< < (3/3)

Erik Schwalb:
Verständnisfrage: Hat sich Dein Domino Server denn ein TLS Zertifikat von Let's Encrypt geholt...oder (noch) nicht?
Falls ja, dann...
1) prüfe, ob Domino das korrekte Zertifikat verwendet: tell certmgr show certs
2) nimm testweise alle non-Domino Komponenten (Gdata, OS Firewall, etc.) aus dem Spiel und mache den Domino http task für https direkt auf port 443 erreichbar

Falls es dann klappt, kannst Du anschließend wieder Deine Portumleitung, Gdata, etc. aktivieren (one step at a time).

Peter Klett:
Vielen Dank für die Hinweise. Aktueller Stand ist der, dass es grundsätzlich funktioniert. Das Zertifikat wird bei Beantragung innerhalb 1-2 Minuten bereitgestellt. Zugriff vom Client aus über https://InterneIPAdresseServer:Port funktioniert unter Nutzung des korrekten Zertifikats. Einzig der Port 443 ist von außen überhaupt nicht sichtbar. Es gibt auch keine Portweiterleitung für G DATA, trotzdem lauscht G DATA auf dem Server, auf dem auch der Domino läuft, auf 443, ist auch in der Firewall eingetragen. Ich weiß nicht, wozu das da ist, aber verwendet wird das bei mir definitiv nicht.

Ich hatte bis letzte Woche einen Exchange Server laufen, auf einem anderen Server als dem Domino. Der konnte über 443 angesprochen werden und hatte auch eine entsprechende Weiterleitung im Router (meist war die aber abgeschaltet, weil das S in MS nicht Security heißt). Der Exchange ist nun gestorben, weil die neueste Sicherheitslücke auf meinem Server dazu genutzt wurde, die Warteschlange mit 2500 Phishing Mails vollzuschreiben. Das ist mindestens das zweite Mail, dass meine Maschine einem erfolgreichen Angriff ausgesetzt war, nun ist es genug. Habe meine Postfächer auf ein gehostetes Exchange umgezogen, nicht in die Cloud, das wäre das Letzte, was ich täte. Das hat soweit gut geklappt, und morgen hilft mir ein befreundeter Netzwerker beim finalen Abbau des Exchange, den werde ich auch nach dem Port befragen, wird der schon hinbekommen.

Am G DATA will ich nicht herumfummeln, never change a running System ...

Ich werde berichten, woran es gelegen hat, sobald es läuft, ist sicherlich nur eine Kleinigkeit, die mir nicht auffällt, weil es einfach nicht meine Kernkomptenz ist

Peter Klett:
So, hier der letzte Stand: Ich gebe es auf. Es schein logisch alles korrekt zu sein, Serverdokument rauf und runter geprüft und alles mögliche ausprobiert, Router ist korrekt, Firewall ok, alles passt anscheinend, aber es läuft nicht.

Dann eben nicht. Wäre schön gewesen, aber habe genug Rest-Lebenszeit damit verschwendet. Für meinen Anwendungsfall ist es nicht zwingend notwendig, lebe ich halt damit. Vielleicht ist es eine der letzten http-Seiten auf der Welt, wäre ja auch mal was besonderes ... 

Allen vielen Dank fürs Mitdenken und die vielen Tipps. Wünsche ein angenehmes Wochenende!

Peter Klett:
Au Mann, habe es im Zusammenhang mit einem anderen Thema gefunden: am Forti Router reicht nicht alleine die Weiterleitung, es muss auch eine Regel für die Firewall eingetragen werden. Interessanterweise existierte die auch, hatte aber die Weiterleitung geändert. Möglicherweise aktualisiert die Änderung nicht die Firewall. Firewall Regel gelöscht und neu eingetragen, jetzt läuft es

Was für eine schwere Geburt ...

Navigation

[0] Themen-Index

[*] Vorherige Sete