Das Notes Forum

Domino 9 und frühere Versionen => ND8: Administration & Userprobleme => Thema gestartet von: chock am 18.01.11 - 10:38:30

Titel: Key Ring erstellen
Beitrag von: chock am 18.01.11 - 10:38:30

Hallo Forum,

ich versuche ein SSL Webserver Zertifikat auf unserem Domino 8.5.1FP4 zu installieren. Leider funktioniert es nicht zu richtig.

Folgendermaßen bin ich vorgegangen:

- als erstes habe ich in der Server Certificate Admin einen Key Ring erstellt.
- nun erstelle ich einen Create Certificate Request.
- jetzt folge ich folgender Anleitung --> https://search.thawte.de/support/ssl-digital-certificates/index?page=content&id=SO16402&actp=search&viewlocale=en_US&searchid=1295332981012
- wähle ich danach Install Certificate Into Key Ring kommt die Meldung "Unreconized Certificate Authority signature"

Habe ich einen Schritt vergessen? Unter View/Edit Keyrings wird auch nichts angzeigt.

Danke

Gruß

Titel: Re: Key Ring erstellen
Beitrag von: ra.t am 18.01.11 - 16:59:45

Hallo chock,
hast du evtl. die Certifikat-DB auf dem Server erstellt ?
Falls ja, dann erstell sie mal lokal auf dem Client und wiederhole die Prozedur.
mfg
Ra.T.

Titel: Re: Key Ring erstellen
Beitrag von: chock am 19.01.11 - 07:34:53

Hallo,

habe das ganze nochmal lokal durchgespielt und kommt die Meldung bei"Install Certificate Into Key Ring"
No private key exists for this certificate.
 
Ich glaube mit dem Zertifikat ist da noch was falsch.

Gruß

Titel: Re: Key Ring erstellen
Beitrag von: mind1 am 11.07.11 - 11:21:19

Hallo zusammen,

ich muss dieses Thema mal hoch holen, da ich selbst ein sehr ähnliches Problem habe.

Ich habe ein SSL-Zertifikat mit einem Private-Key erstellen lassen. Dieser Key ist aber nicht durch den Prozess in der hier besagten Datenbank entstanden, sondern der wurde beim Provider erstellt. Sozusagen also "Third-Party". Laut dem Provider soll es auf jeden Fall funktionieren, diesen Private-Key in Domnino zu aktivieren, da er "kein System kennt, das nur eigens erstellte keys akzeptiert".

Nach der allegemeinen Anleitung, die man bei fast jedem SSL-Anbieter findet (Key-Ring erstellen, Zertifikate importieren, Dateien hochladen und im Adressbuch angeben), kann ich allerdings den KeyRing nicht vollständig erstellen. Ich habe den starken Eindruck, dass Domino beim Erstellen des keyrings einen eigenen Private-Key erzeugt, den ich aber nirgends finde (z.B. um ihn zu sichern). Lediglich in eine p12-Datei kann ich ihn mit einem IBM-Tool exportieren.  Schlußendlich meldet sich Domino am Ende, wenn ich bereits alle Comodo-Zertifikate in der Datei habe und das eigentliche zertifikat importieren möchte, dass zu dem Zertifikat kein Privater Key gefunden wurde.

Wie kann ich den eigenen Private-key und damit das Zertifikat nutzen?

Danke! Gruß, Bernd

Titel: Re: Key Ring erstellen
Beitrag von: stoeps am 11.07.11 - 11:59:30

Was heißt du kannst auf der Basis keinen Keyring erstellen?

Welchen private Key hast du denn? Für S/Mime oder SSL Auth?

Wenn du dem Signer des Schlüssel vertraust und der Name / Mailadresse des Benutzers im Schlüssel hinterlegt ist, müsste das gehen. Evtl. mußt du den Namen noch im Fullname des Benutzers nachpflegen.

Wenn du ein SSL Cert für einen User mit der Domino CA anlegst, wird das Fullname-Feld um folgenden Eintrag erweitert:

Code

EMAIL=Hans.Mustermann@dnsdomain.de/CN=Hans Mustermann/O=Domino-Organisation

Der Name steckt auch im Zertifikat.

Titel: Re: Key Ring erstellen
Beitrag von: mind1 am 11.07.11 - 12:44:56

Hallo Christoph,

ich möchte einfach HTTP per SSL sichern. Dafür gibt es ja diese besagte DB, mit der man den Key-Ring erstellt und dann die Zertifikate importiert. Das funktioniert für die Comodo-Zertifikate ganz hervorragend, nur das Zertifikat, was ich für meinen Server bekommen habe, verlangt nach dem Private-Key. Den habe ich ja - ich weiß nur nicht, wie ich den in das System bekomme.

Kann ich den evtl per Admin-Client Cross-Zertifizieren?

Gruß, Bernd

Titel: Re: Key Ring erstellen
Beitrag von: stoeps am 11.07.11 - 12:56:37

Ach jetzt, du hast einen signierten Key für deinen Server, ohne daß du einen Request erstellt hast?

Sorry keine Ahnung, ich denke nicht, daß das geht. Ich mache das immer mit einem entsprechenden Request.

Titel: Re: Key Ring erstellen
Beitrag von: m3 am 11.07.11 - 13:43:17

So wäre der "korrekte" Weg:
https://www-304.ibm.com/support/docview.wss?rs=899&uid=swg21268695

Wenn Du glück hast, und in dem File, das Du hast, public und private key drinnen sind, könntest Du ev. mit der gsk Version des ikeyman das Zertifikat trotzdem in die Datenbank importieren:
http://www.turtleweb.com/turtleblog.nsf/dx/11022009232215GDAVGR.htm?opendocument&comments

Titel: Re: Key Ring erstellen
Beitrag von: mind1 am 11.07.11 - 15:45:22

Hallo Martin,

danke für die Antwort!

Der zweite Link ist schon ganz gut. Eine p12-Datei habe ich mit einem Tool auch schon erstellen können. Allerdings bekomme ich auf meiner Maschine (win7 x64) das ikeyman nicht ans Laufen. Es startet schlichtweg nicht... Auch nach einem Neustart und natürlich der registry-manipulation.

Ich probiers nochmal mit einer anderen Dose.

Gruß, Bernd

Titel: Re: Key Ring erstellen
Beitrag von: mind1 am 12.07.11 - 12:27:16

Ich glaube, ich habe es hinbekommen. Ich sage extra ich "glaube", da ich noch eteas testen muss und der Weg sehr holprig war.

Hier einmal meine Schritte, die vielleicht dem einen oder anden helfen könnten:

Aus dem Private-Key und dem Zertifikat habe ich mit XCA eine .p12-Datei erstellt. Diese kann man in ikeyman importieren. Ikeyman funktionierte bei mir NUR auf einer XP-Workstation, bei Vista oder Win7 wird die GUI nicht gestartet. Der Import nach dieser Beschreibung:

http://www.keysolutions.com/NotesFAQ/all85.html

hat anscheinend funktioniert, obwohl das ikeyman beim Import eingefroren ist. Nach dem Import wurde zumindest das Zertifikat im Programm angezeigt. Die so manipulierten kyr und sth Dateien hochgeladen und per Domino-Directory aktiviert zeigt schonmal an, dass die Seite vertrauenswürdig ist. Eine Warnmeldung, wie beim selbstzertifizierten file kommt nicht.

Mal sehen, wie sich das entwickelt. Ich bin optimistisch.

Gruß, Bernd

Titel: Re: Key Ring erstellen
Beitrag von: umi am 14.07.11 - 14:57:40

IKeyman startet nur unter XP.... oder 2003 Server