Domino 9 und frühere Versionen > Administration & Userprobleme
Browser Zertifikat erzwingen! Wie?
Daniel_Heinrich:
Ziel ist es:
Das der Server niemanden Zugriff gewährt, wenn kein gültiges Browserzertifikat vorliegt.
Ohne Zertifikat soll sich der Server gar nicht weiter mit dem Browser unterhalten.
Der Server prüft, ob der User vertrauenswürdig ist (installiertes Zertifikat) und gewährt ihm dann Zugriff.
Wir wollen quasi eine doppelte Sicherheit:
1. Login (NAB + ACL) was ja auch klappt
2. installiertes Browserzertifikat
Ist das grundsätzlich möglich oder nicht?
Ute:
dieses zertifikat dient meines Wissens nur der Verschlüsselung des Übertragungsweges. Die Vertrauenswürdigkeit des Zertifikates, also evtl.
eine Zertifizierung bei cctrustcenter oder so, ist
nur für den Interessant, der die Seite aufruft, eben wegen Vertrauenswürdigkeit.
Der Server stellt das Zertifikat nur zur Verfügung , dem ist es egal, was der User damit macht, ob das im Browser installiert ist, oder ob er jedesmal die Fehlermeldung wegklickt. Es kann ja auch jeder das Zertifikat installieren, ob er nun ein Login oder nicht auf Deinem Server hat, es bringt also für Dich keine Sicherheit, sondern ist lediglich für die Sicherheit des Clients, bzw. s.o. des Übertragungsweges wichtig
Daniel_Heinrich:
Der User kann nicht das Client Zertifikat installieren, wenn er nicht in meinem Adreßbuch steht.
Das Internetzertifikat füge ich über das Personendokument einem User hinzu. Danach habe ich die Möglichkeit, das Zertifikat zu exportieren. Nun habe ich also meine xyz.cer Datei. Diese Datei will ich an entsprechende User verteilen, damit diese das Zertifikat in ihren Browser importieren können.
Was sich jeder installieren kann ist das Server Zertifikat, die s.g. CA. Hoffe, das stimmt so...
Nur der User, der von mit ein Client Zertifikat bekommen hat, soll zugreifen können.
Ich wünschte, meine Vorgesetzten hätten sich etwas anderes ausgedacht. :-[
Ute:
verstehe, dann vergiß das da oben. Aber dann hab ich auch keine Ahnung tut mir leid
gruß
Ute
HPohl:
Aloa...
Die SSL-Verschlüsselung dient tatsächlich NUR der Verschlüsselung des Übertragungsweges.
Eine Möglichkeit wäre, die domcfg.nsf so anzupassen, dass bei einem fehlerhaften Login auf z.B. www.ibm.com gelinkt wird. Ferner kannst Du als Startseite eine HTTPS-Seite angeben, somit hat sich auch das Problem erledigt, dass irgendeine Backpfeife unverschlüsselte Login-Daten bekommt (Authentifizierung via WEB ist KEIN Abfrage des Notes-Passwortes, sondern des in dem Personendokument abgelegt Internet-Passwort (dürfte aber bekannt sein).
Beispiel für die Startseite im Serverdokument :
https://www.mydomain.com/Domcfg.nsf/StartPage?OpenPage
Ich hoffe, Dir damit geholfen zu haben.
Gruss
Helge
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln