Das Notes Forum
Domino 9 und frühere Versionen => Administration & Userprobleme => Thema gestartet von: Arno am 27.01.05 - 15:01:09
-
Hallo,
ich habe ( nun vor knapp 2 jahren ) eine Wurzelinstanz und ein Server-Zertifikate für den domino eingerichtet.
die Wurzelinstanzist ist noch auf jahre hin gültig,
nun läuft aber bald das Server-Zertifikate aus,
weiss jemand ob man die zertifikate verlängern kann oder,
ob ein neues Server-Zertifikate angelegt werden muss?
mfg
Gont
-
Hääää??? Beim Zertifizieren eines Servers wird die Zulassungsdauer standardmäßig auf 100 Jahre festgelegt.
Aber... auch Server kann man rezertifizieren, wenn auch nur manuell. Obacht... Beim rezertifizieren wird immer die Standardzeit von 2 Jahren vorgegeben, auch bei Server-ID-Dateien. Das kann beim Rezertifizierungsvorgang natürlich "korrigiert" werden.
-
Hallo ,
@ Heiko Falscher Film ;)
@ll
es gandelt sich um eine CA ( Stammzertifizierer )
Der standart liegt bei (glaube ich ) 10 Jahren
Der Schlüsselring ist nur Standartmässig 2 Jaher gültig,
das hat also nichts mit Server.Id oder dergleichen zutun.
Sondern dient als Zerifikat welches vom Browser zwecks verschlüsselung / Autentifizierung vom Server Installiert werden kann.
Ich habe also ein Zertifizierungsstelle eingerichtet ( Stamzertifikat )
und einen Server Schlüsselring ( Servver zertifikat )
(keyfile.kyr und keyfile.sth )
Nun kann ich beim IE meinen Stammzertifizierer eintagen und der Browser kann nun die Serverzertifikate welche eine eng begrenzte standart lebensdauer haben ( 2 J ) annehmen um so den Server als solchen zu Identifizieren und eine sichere verbindung zum Server zu gewärleisten.
Zu meiner Frage :
Muss ich nun einen neuen schlüsselring für den server erstellen,
oder kann ich den bestehenden Schlüsselring erneut zertifizieren.
mfg
Gont
-
Hallo,
Ich habe mein Problemchen ( im nachhinein lächerlich einfach, wie immer *g* wenn man es endlich weiss ) nun selber gelöst,
Eine Verlängerung eines schlüssels selber ist nicht möglich ( anscheinend ) daher muss ein neuerschlüsselring angelegt werden,
man spart lediglich das anlegen der Datenbanken und das Anlegen des Wurzelzertifikats ( ist 10 J gültig )
Lösung :
- Erstellen eines Neuen Schlüsselrings
- mit anderem Namen z.B. Keyfile2.kyr
- Nachfolgende Warnungen zu einem bestehenden schlüssel Ignorieren ;)
- Erstellen einer Zulassungsanforderung
- Mit dem Webbrowser auf die Zulassungsstelle zugreifen
- Server zertifikat anfordern
- Wieder ab in die Zertifizierungsstelle und die anforderung bestätigen
- Im Web wieder das Zertifikat annehmen
- In der zertifizierungsstelle den schlüssel instalieren
- Die neuen Daten ( 2 datein ) ins data vom server schieben
- Im Serverdokument den neuen Namen eintagen ( keyfile2.kyr)
HTTP neustarten reichte aus, aber sicherheitshalber wuerde ich zu einem Serverneustart tendieren
Zertifikate sind in einer Homogenen umgebung wirklich gut,
kommen aber andere Browser dazu kann es eine Tortur werden Stamzertifikate zu installieren und Zertifikate anzunehmen.
Ich finde es jedoch gut das man domino selber zum Stamzertifizierer machen kann so spart man nicht unherheblich geld, und kann dennoch eine gesicherte verbindung gewährleisten (ssl)
mfg
gont
PS: es wunderte mich das soviele leute es gelesen haben ich jedoch keine passende antwort bekommen habe, ist das thema so unbekannt oder habe ich mich soooooo falsch ausgequetscht ???