Autor Thema: Browser Zertifikat erzwingen! Wie?  (Gelesen 3206 mal)

Offline Daniel_Heinrich

  • Frischling
  • *
  • Beiträge: 7
  • Geschlecht: Männlich
  • Lotus ist 'ne harte Nuß!
Browser Zertifikat erzwingen! Wie?
« am: 23.07.02 - 14:29:48 »
Moin!

Wir betreiben u.a. einen Domino WebServer, der unter SSL läuft. Klappt soweit auch alles. Domino habe ich als eigene CA eingerichtet und die entsprechenden Schlüssel generiert.

Der User soll sich, wenn er die URL (virt. Server) aufruft, 1.) per Login (Serveranmeldung) anmelden und 2.) Zugriff auf die Seite bekommen, wenn das entsprechende Zertifikat im Browser installiert ist.

2.) Klappt nicht. Man kommt auf die Seite und kann surfen, ohne das Zertifikat im Browser installiert zu haben.

In der Serverkonfiguration des physischen Server habe ich den Schlüssel für die CA eingestellt.
Im virtuellen Server ist die Schlüsselringdatei eingetragen.

Gruß

Daniel
« Letzte Änderung: 01.01.70 - 01:00:00 von 1034200800 »
Gruß

Daniel
--
4 Domino Server 5.0.10
ca. 1000 User

Offline Ute

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 662
  • Geschlecht: Weiblich
Re: Browser Zertifikat erzwingen! Wie?
« Antwort #1 am: 23.07.02 - 14:37:38 »
Kommt eine Meldung, daß das Zertifikat nicht so ganz i.O. ist , die der User beantworten muß ?
ruft der User die Seite über https auf ?
hast Du SSL im Serverdokument enabled ?
« Letzte Änderung: 01.01.70 - 01:00:00 von 1034200800 »
2 Domino Server 6.5.1
2 Domino Server 6.5.1 geclustert
alle Server englisch
W2K
Clients 6.5.1
ca 550 User  NT & Win2000 deutsch
ca 10 mobile User
ca 50 Palm OS Geräte

Offline Ute

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 662
  • Geschlecht: Weiblich
Re: Browser Zertifikat erzwingen! Wie?
« Antwort #2 am: 23.07.02 - 14:40:08 »
noch eins, das Zertifikat braucht nicht im Browser installiert zu sein und SSL funktioniert trotzdem
« Letzte Änderung: 01.01.70 - 01:00:00 von 1034200800 »
2 Domino Server 6.5.1
2 Domino Server 6.5.1 geclustert
alle Server englisch
W2K
Clients 6.5.1
ca 550 User  NT & Win2000 deutsch
ca 10 mobile User
ca 50 Palm OS Geräte

Offline Daniel_Heinrich

  • Frischling
  • *
  • Beiträge: 7
  • Geschlecht: Männlich
  • Lotus ist 'ne harte Nuß!
Re: Browser Zertifikat erzwingen! Wie?
« Antwort #3 am: 23.07.02 - 14:47:20 »
SSL an sich klappt wunderbar. Wir möchten nur, das die Seite nicht von jedem Browser aufgerufen werden kann.

Folgende SSL Screeshots erscheinen:

Beim ersten Aufrufen der URL:

-Zertifikat wurde von einer nicht vertrauenswürdigen Firma ausgestellt
-Zertifikatsdatum ist gültig
-Name auf dem Sicherheitszertifikat ist gültig

Nach der Serveranmeldung:

- Die Seite enthält sichere als auch nicht sichere Objekte

Danke für Deine schnelle Antwort

Gruß

Daniel
« Letzte Änderung: 01.01.70 - 01:00:00 von 1034200800 »
Gruß

Daniel
--
4 Domino Server 5.0.10
ca. 1000 User

Offline Ute

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 662
  • Geschlecht: Weiblich
Re: Browser Zertifikat erzwingen! Wie?
« Antwort #4 am: 23.07.02 - 14:55:53 »
das kannst Du meines Wissens nur über Login und rechtevergaben steuern. Das Zertifikat dient nur der Verschlüsselung des Übertragungsweges, und ob es nun im Browser installiert ist oder nicht hat keine Auswirkungen auf den Zugriff auf die Seite.
« Letzte Änderung: 01.01.70 - 01:00:00 von 1034200800 »
2 Domino Server 6.5.1
2 Domino Server 6.5.1 geclustert
alle Server englisch
W2K
Clients 6.5.1
ca 550 User  NT & Win2000 deutsch
ca 10 mobile User
ca 50 Palm OS Geräte

Offline Daniel_Heinrich

  • Frischling
  • *
  • Beiträge: 7
  • Geschlecht: Männlich
  • Lotus ist 'ne harte Nuß!
Re: Browser Zertifikat erzwingen! Wie?
« Antwort #5 am: 23.07.02 - 15:02:07 »
Ziel ist es:

Das der Server niemanden Zugriff gewährt, wenn kein gültiges Browserzertifikat vorliegt.
Ohne Zertifikat soll sich der Server gar nicht weiter mit dem Browser unterhalten.
Der Server prüft,  ob der User vertrauenswürdig ist (installiertes Zertifikat) und gewährt ihm dann Zugriff.

Wir wollen quasi eine doppelte Sicherheit:

1. Login (NAB + ACL) was ja auch klappt
2. installiertes Browserzertifikat

Ist das grundsätzlich möglich oder nicht?
« Letzte Änderung: 01.01.70 - 01:00:00 von 1034200800 »
Gruß

Daniel
--
4 Domino Server 5.0.10
ca. 1000 User

Offline Ute

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 662
  • Geschlecht: Weiblich
Re: Browser Zertifikat erzwingen! Wie?
« Antwort #6 am: 23.07.02 - 15:09:37 »
dieses zertifikat dient meines Wissens nur der Verschlüsselung des Übertragungsweges. Die Vertrauenswürdigkeit des Zertifikates, also evtl.
eine Zertifizierung bei cctrustcenter oder so, ist
nur für den Interessant, der die Seite aufruft, eben wegen Vertrauenswürdigkeit.
Der Server stellt das Zertifikat nur zur Verfügung , dem ist es egal, was der User damit macht, ob das im Browser installiert ist, oder ob er jedesmal die Fehlermeldung wegklickt. Es kann ja auch jeder das Zertifikat installieren, ob er nun ein Login oder nicht auf Deinem Server hat, es bringt also für Dich keine Sicherheit, sondern ist lediglich für die Sicherheit des Clients, bzw. s.o. des Übertragungsweges wichtig
« Letzte Änderung: 01.01.70 - 01:00:00 von 1034200800 »
2 Domino Server 6.5.1
2 Domino Server 6.5.1 geclustert
alle Server englisch
W2K
Clients 6.5.1
ca 550 User  NT & Win2000 deutsch
ca 10 mobile User
ca 50 Palm OS Geräte

Offline Daniel_Heinrich

  • Frischling
  • *
  • Beiträge: 7
  • Geschlecht: Männlich
  • Lotus ist 'ne harte Nuß!
Re: Browser Zertifikat erzwingen! Wie?
« Antwort #7 am: 23.07.02 - 15:39:35 »
Der User kann nicht das Client Zertifikat installieren, wenn er nicht in meinem Adreßbuch steht.
Das Internetzertifikat füge ich über das Personendokument einem User hinzu. Danach habe ich die Möglichkeit, das Zertifikat zu exportieren. Nun habe ich also meine xyz.cer Datei. Diese Datei will ich an entsprechende User verteilen, damit diese das Zertifikat in ihren Browser importieren können.

Was sich jeder installieren kann ist das Server Zertifikat, die s.g. CA. Hoffe, das stimmt so...

Nur der User, der von mit ein Client Zertifikat bekommen hat, soll zugreifen können.

Ich wünschte, meine Vorgesetzten hätten sich etwas anderes ausgedacht.  :-[
« Letzte Änderung: 01.01.70 - 01:00:00 von 1034200800 »
Gruß

Daniel
--
4 Domino Server 5.0.10
ca. 1000 User

Offline Ute

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 662
  • Geschlecht: Weiblich
Re: Browser Zertifikat erzwingen! Wie?
« Antwort #8 am: 24.07.02 - 08:48:37 »
verstehe, dann vergiß das da oben. Aber dann hab ich auch keine Ahnung tut mir leid
gruß
Ute
« Letzte Änderung: 01.01.70 - 01:00:00 von 1034200800 »
2 Domino Server 6.5.1
2 Domino Server 6.5.1 geclustert
alle Server englisch
W2K
Clients 6.5.1
ca 550 User  NT & Win2000 deutsch
ca 10 mobile User
ca 50 Palm OS Geräte

Offline HPohl

  • Aktives Mitglied
  • ***
  • Beiträge: 134
  • Geschlecht: Männlich
  • Nicht jeder CLP ist ein guter CLP
Re: Browser Zertifikat erzwingen! Wie?
« Antwort #9 am: 24.07.02 - 09:27:24 »
Aloa...

Die SSL-Verschlüsselung dient tatsächlich NUR der Verschlüsselung des Übertragungsweges.

Eine Möglichkeit wäre, die domcfg.nsf so anzupassen, dass bei einem fehlerhaften Login auf z.B. www.ibm.com gelinkt wird. Ferner kannst Du als Startseite eine HTTPS-Seite angeben, somit hat sich auch das Problem erledigt, dass irgendeine Backpfeife unverschlüsselte Login-Daten bekommt (Authentifizierung via WEB ist KEIN Abfrage des Notes-Passwortes, sondern des in dem Personendokument abgelegt Internet-Passwort (dürfte aber bekannt sein).
Beispiel für die Startseite im Serverdokument :

https://www.mydomain.com/Domcfg.nsf/StartPage?OpenPage

Ich hoffe, Dir damit geholfen zu haben.

Gruss
Helge

Offline Daniel_Heinrich

  • Frischling
  • *
  • Beiträge: 7
  • Geschlecht: Männlich
  • Lotus ist 'ne harte Nuß!
Re: Browser Zertifikat erzwingen! Wie?
« Antwort #10 am: 24.07.02 - 10:31:53 »
Auf jeden Fall deckt sich Deine Aussage mit meiner Meinung.  ;)

Vielen Dank!
« Letzte Änderung: 01.01.70 - 01:00:00 von 1034200800 »
Gruß

Daniel
--
4 Domino Server 5.0.10
ca. 1000 User

Offline Daniel_Heinrich

  • Frischling
  • *
  • Beiträge: 7
  • Geschlecht: Männlich
  • Lotus ist 'ne harte Nuß!
Es geht doch!!!
« Antwort #11 am: 24.07.02 - 15:50:30 »
Mein Vorhaben klappt doch. Ich komme nicht auf die Seite, weil ich kein Zertifikat habe: Fehler 403, forbidden!

Mein momentanes Problem ist eher Browser besiert.
Ich muß eine Anforderung abschicken, um mein Clientzertifikat zu bekommen.
Sowie ich auch den "Abschicken" Button klicke, erhalte ich unten rechts in der Statuszeile des Browser:

FEHLER AUF DER SEITE

Zeile: 140
Zeichen: 2
Fehler: Das Objekt unterstützt diese Eigenschaft oder Methode nicht.:
          'theForm.KeyExportable.checked'
Code:      0
URL:https://xxx/xxx.nsf/WebClientCertificateRequestMicrosoft?
     OpenForm&SpecialAction=RequestAction

Probiert auf: IE 5.5 / 6.0 / Opera 6

Jemand eine Idee?

« Letzte Änderung: 01.01.70 - 01:00:00 von 1034200800 »
Gruß

Daniel
--
4 Domino Server 5.0.10
ca. 1000 User

Offline Arno

  • Senior Mitglied
  • ****
  • Beiträge: 445
  • Geschlecht: Männlich
  • nur die Ruhe wir bekommen das schon hin ...
    • Gont
Re: Browser Zertifikat erzwingen! Wie?
« Antwort #12 am: 24.07.02 - 16:06:16 »
Hallo,

ich leide mit dir , i
ch habe deine probleme auch gehabt ...

zum glück gehabt ;-)

man muss in den Browsern selbst einige einstellungen machen , wie zum beispiel client zertifikate annehmen  dann ssl 2 und ssl 3 0  aktievieren ..

aber was ich voralendingen gemacht habe ich habe in den browsern ersteinmal die Zerifizioerungsstelle eingetragen , und dann erst das Client zertifikat beantraget ( IE 5,5 - 6 & Netscape ) Achtung ! ein auf N angefordertes Zertifikat kann auch nur N lesen sie sind nicht belibig untereinander austauschbar
« Letzte Änderung: 01.01.70 - 01:00:00 von 1034200800 »
IBM Certified System Administrator
IBM Certified Associate System Administrator
=================================================
R 7.0.3 (aussterbend) bis 8.Aktuell (gesammt ca. 150 Dominos auf der welt verteilt, schwerpunkt allerdings in Deutschland)

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz