Das Notes Forum

Domino 9 und frühere Versionen => ND8: Administration & Userprobleme => Thema gestartet von: daija am 12.11.10 - 09:12:45

Titel: Signierzertifikat des Absenders ist abgelaufen
Beitrag von: daija am 12.11.10 - 09:12:45

Wenn ich in meiner Notes ID ein S/MIME (X.509) Zertifikat eingebunden habe, um Mail digital zu signieren, erhalte ich beim Senden die OK-Meldung "Signierzertifikat des Absenders ist abgelaufen" und die Mail wird versendet.
Tatsächlich ist mein S/MIME (X.509) Zertifikat in der Notes ID abgelaufen. Aber wie kann ich Notes daran hindern, die Mail mit einem abgelaufenem Zertifikat zu senden?
Statt der OK-Meldung würde ich mir wünschen folgendes wünschen: Mail kann nicht gesendet werden, da das Signierzertifikat des Absenders abgelaufen ist. Aktualisieren Sie Ihr Zertifikat oder deaktivieren Sie die Option zum Signieren dieser Mail.
Geht das mit Notes Bordmitteln, oder muss ich mir dazu eine Zusatzsoftware kaufen (z.B. GROUP iQ Crypt, die könnte das).
Ich wäre auch bereit, die Stelle im Design der Mail-DB anzupassen, finde die Stelle aber leider nicht.

Titel: Re: Signierzertifikat des Absenders ist abgelaufen
Beitrag von: m3 am 12.11.10 - 09:48:48

AFAIK geht das nicht mit Boardmitteln. Sauberer wäre es IMHO sowieso, dem User ein neues Zertifikat zuzuweisen (siehe Creating and using the certificate authority in Lotus Domino 6 (http://www.ibm.com/developerworks/lotus/tutorials/lsdomino6ca/) und Lotus Notes and Domino R5.0 Security Infrastructure Revealed (http://www.redbooks.ibm.com/abstracts/sg245341.html)).

Ansonsten würde ich mal einen ESR/PMR bei IBM aufmachen, ev. haben die noch eine Idee.

Titel: Re: Signierzertifikat des Absenders ist abgelaufen
Beitrag von: daija am 12.11.10 - 10:31:02

PMR mache ich gleich auf und werde dann berichten.
Neues Zertifikat ist klar, wobei ich dazu schreiben muss, dass wir keine eigene PKI aufgebaut haben, sondern den Service von einem TrustCenter beziehen, die bereits ein verteiltes Root-CA Zertifikat in den gängigen Browser/Mail-Programmen etc. implementiert haben und wir uns dort die Benutzer-Zertfikate austellen lassen.
Demnach muss der User also selbst sein Zertifikat verlängern und es dann neu in seine Notes ID einbinden. Wenn dieser Vorgang nicht richtig ausgeführt wird, kann es dazu kommen, dass Mails noch mit dem alten, abgelaufenen Zertifikat signiert gesendet werden. Und das würde ich gerne verhindern wollen.