Browser Zertifikat erzwingen! Wie?

[Daniel_Heinrich]

Moin!

Wir betreiben u.a. einen Domino WebServer, der unter SSL läuft. Klappt soweit auch alles. Domino habe ich als eigene CA eingerichtet und die entsprechenden Schlüssel generiert.

Der User soll sich, wenn er die URL (virt. Server) aufruft, 1.) per Login (Serveranmeldung) anmelden und 2.) Zugriff auf die Seite bekommen, wenn das entsprechende Zertifikat im Browser installiert ist.

2.) Klappt nicht. Man kommt auf die Seite und kann surfen, ohne das Zertifikat im Browser installiert zu haben.

In der Serverkonfiguration des physischen Server habe ich den Schlüssel für die CA eingestellt.
Im virtuellen Server ist die Schlüsselringdatei eingetragen.

Gruß

Daniel

[Ute]

Kommt eine Meldung, daß das Zertifikat nicht so ganz i.O. ist , die der User beantworten muß ?
ruft der User die Seite über https auf ?
hast Du SSL im Serverdokument enabled ?

[Ute]

noch eins, das Zertifikat braucht nicht im Browser installiert zu sein und SSL funktioniert trotzdem

[Daniel_Heinrich]

SSL an sich klappt wunderbar. Wir möchten nur, das die Seite nicht von jedem Browser aufgerufen werden kann.

Folgende SSL Screeshots erscheinen:

Beim ersten Aufrufen der URL:

-Zertifikat wurde von einer nicht vertrauenswürdigen Firma ausgestellt
-Zertifikatsdatum ist gültig
-Name auf dem Sicherheitszertifikat ist gültig

Nach der Serveranmeldung:

- Die Seite enthält sichere als auch nicht sichere Objekte

Danke für Deine schnelle Antwort

Gruß

Daniel

[Ute]

das kannst Du meines Wissens nur über Login und rechtevergaben steuern. Das Zertifikat dient nur der Verschlüsselung des Übertragungsweges, und ob es nun im Browser installiert ist oder nicht hat keine Auswirkungen auf den Zugriff auf die Seite.

[Daniel_Heinrich]

Ziel ist es:

Das der Server niemanden Zugriff gewährt, wenn kein gültiges Browserzertifikat vorliegt.
Ohne Zertifikat soll sich der Server gar nicht weiter mit dem Browser unterhalten.
Der Server prüft,  ob der User vertrauenswürdig ist (installiertes Zertifikat) und gewährt ihm dann Zugriff.

Wir wollen quasi eine doppelte Sicherheit:

1. Login (NAB + ACL) was ja auch klappt
2. installiertes Browserzertifikat

Ist das grundsätzlich möglich oder nicht?

[Ute]

dieses zertifikat dient meines Wissens nur der Verschlüsselung des Übertragungsweges. Die Vertrauenswürdigkeit des Zertifikates, also evtl.
eine Zertifizierung bei cctrustcenter oder so, ist
nur für den Interessant, der die Seite aufruft, eben wegen Vertrauenswürdigkeit.
Der Server stellt das Zertifikat nur zur Verfügung , dem ist es egal, was der User damit macht, ob das im Browser installiert ist, oder ob er jedesmal die Fehlermeldung wegklickt. Es kann ja auch jeder das Zertifikat installieren, ob er nun ein Login oder nicht auf Deinem Server hat, es bringt also für Dich keine Sicherheit, sondern ist lediglich für die Sicherheit des Clients, bzw. s.o. des Übertragungsweges wichtig

[Daniel_Heinrich]

Der User kann nicht das Client Zertifikat installieren, wenn er nicht in meinem Adreßbuch steht.
Das Internetzertifikat füge ich über das Personendokument einem User hinzu. Danach habe ich die Möglichkeit, das Zertifikat zu exportieren. Nun habe ich also meine xyz.cer Datei. Diese Datei will ich an entsprechende User verteilen, damit diese das Zertifikat in ihren Browser importieren können.

Was sich jeder installieren kann ist das Server Zertifikat, die s.g. CA. Hoffe, das stimmt so...

Nur der User, der von mit ein Client Zertifikat bekommen hat, soll zugreifen können.

Ich wünschte, meine Vorgesetzten hätten sich etwas anderes ausgedacht.  

[Ute]

verstehe, dann vergiß das da oben. Aber dann hab ich auch keine Ahnung tut mir leid
gruß
Ute

[HPohl]

Aloa...

Die SSL-Verschlüsselung dient tatsächlich NUR der Verschlüsselung des Übertragungsweges.

Eine Möglichkeit wäre, die domcfg.nsf so anzupassen, dass bei einem fehlerhaften Login auf z.B. www.ibm.com gelinkt wird. Ferner kannst Du als Startseite eine HTTPS-Seite angeben, somit hat sich auch das Problem erledigt, dass irgendeine Backpfeife unverschlüsselte Login-Daten bekommt (Authentifizierung via WEB ist KEIN Abfrage des Notes-Passwortes, sondern des in dem Personendokument abgelegt Internet-Passwort (dürfte aber bekannt sein).
Beispiel für die Startseite im Serverdokument :

https://www.mydomain.com/Domcfg.nsf/StartPage?OpenPage

Ich hoffe, Dir damit geholfen zu haben.

Gruss
Helge

[Daniel_Heinrich]

Auf jeden Fall deckt sich Deine Aussage mit meiner Meinung.  

Vielen Dank!

[Daniel_Heinrich]

Mein Vorhaben klappt doch. Ich komme nicht auf die Seite, weil ich kein Zertifikat habe: Fehler 403, forbidden!

Mein momentanes Problem ist eher Browser besiert.
Ich muß eine Anforderung abschicken, um mein Clientzertifikat zu bekommen.
Sowie ich auch den "Abschicken" Button klicke, erhalte ich unten rechts in der Statuszeile des Browser:

FEHLER AUF DER SEITE

Zeile: 140
Zeichen: 2
Fehler: Das Objekt unterstützt diese Eigenschaft oder Methode nicht.:
          'theForm.KeyExportable.checked'
Code:      0
URL:https://xxx/xxx.nsf/WebClientCertificateRequestMicrosoft?
     OpenForm&SpecialAction=RequestAction

Probiert auf: IE 5.5 / 6.0 / Opera 6

Jemand eine Idee?

[Arno]

Hallo,

ich leide mit dir , i
ch habe deine probleme auch gehabt ...

zum glück gehabt ;-)

man muss in den Browsern selbst einige einstellungen machen , wie zum beispiel client zertifikate annehmen  dann ssl 2 und ssl 3 0  aktievieren ..

aber was ich voralendingen gemacht habe ich habe in den browsern ersteinmal die Zerifizioerungsstelle eingetragen , und dann erst das Client zertifikat beantraget ( IE 5,5 - 6 & Netscape ) Achtung ! ein auf N angefordertes Zertifikat kann auch nur N lesen sie sind nicht belibig untereinander austauschbar