Das Notes Forum

Domino 9 und frühere Versionen => ND8: Administration & Userprobleme => Thema gestartet von: Driri am 29.03.11 - 15:15:04

Titel: Frage zur Nutzung von self-signed Certificates für SSL
Beitrag von: Driri am 29.03.11 - 15:15:04

Hallo,

der Hobby-Admin testet mal wieder und hat natürlich direkt eine Frage/ein Problem  ;)

Wir testen den Traveler (8.5.2.1) und ich habe jetzt HTTPS mit einem selbsterstellen Zertifikat aktiviert. Das funktioniert auch alles wunderbar, allerdings beinhaltet dieses Zertifikat ein Ablaufdatum (Erstellungsdatum + 1 Jahr).

Die Frage ist nun, was bei einem späteren Produktiveinsatz in so einer Konstellation passieren würde, wenn das Zertifikat abläuft.

Kann ich das vorab verlängern ?

Akzeptiert der Server die HTTPS-Verbindungen der Clients trotzdem weiter (im Serverdokument gibt es da eine Einstellung, die danach klingt : Accept expired SSL certificates) ?

Oder bin ich gezwungen, ein neues Zertifkat zu erstellen und muß das dann irgendwie auf die Clients verteilen ?

Titel: Re: Frage zur Nutzung von self-signed Certificates für SSL
Beitrag von: m3 am 29.03.11 - 15:23:01

Verlängern = neues Zertifikat einspielen

Das Problem tritt am Client auf, nicht am Server. Der Client muss mit dem abgelaufenen Zertifikat des Server umgehen können, dem http/Traveler Server ist das Ablaufdatum wurscht.
Die erwähnte Einstellung bezieht sich auf die Verwendung von Client Certficates, die Anstelle einer Username/Passwort Anmeldung verwendet werden können.

Bezgl. "Verteilung": Das hängt vom Client ab. Mein Nokia E71 und das Ipad meiner Holden prompten bezgl. des unbekannten Zertifikats und wenn man das Richtige anklickt wars das dann.

Titel: Re: Frage zur Nutzung von self-signed Certificates für SSL
Beitrag von: Driri am 29.03.11 - 16:14:02

Hallo Martin,

ich hoffe, ich habe das richtig verstanden :

Wenn das Zertifikat abläuft, erstelle ich ein neues und spiele das auf dem Server ein. Die Clients bekommen dann bei der nächsten Verbindung eine entsprechende Meldung und müssen das Zertifikat annehmen.

Ist zwar unschön, wenn alle Benutzer einmal pro Jahr da aktiv werden müssen, aber klingt machbar.

Wäre denn ein gekauftes Zertifkat länger gültig ? Dann würde ich lieber die paar Euro investieren und hab dann wenigstens etwas länger Ruhe  ;)

Titel: Re: Frage zur Nutzung von self-signed Certificates für SSL
Beitrag von: m3 am 29.03.11 - 16:41:18

Kommt auf den Anbieter & das Zertifikat an. Was Du Dir mit einem gekauften Zert. ersparst sind die Dialoge beim User. Kommt halt drauf an wie "gut" Deine User sind.

Titel: Re: Frage zur Nutzung von self-signed Certificates für SSL
Beitrag von: Driri am 30.03.11 - 08:39:21

Eher weniger gut  ;)

Danke für die Info. Dann werde ich mich mal mit einem gekauften Zertifikat beschäftigen. Für den Test reicht ja erstmal das Self-Signed.

Titel: Re: Frage zur Nutzung von self-signed Certificates für SSL
Beitrag von: (h)uMan am 30.03.11 - 09:35:13

wir nutzen "offizielle" SSL-Zertifikate mit 3 Jahren Laufzeit, die wir jeweils rechtzeitig vor Ablauf verlängern. Bei gekauften Zertifikaten gibt es in der Regel vom Anbieter rechtzeitig per E-Mail Hinweise auf die anstehende Verlängerung.

Bei der Auswahl von Zertifkaten ist neben den Kosten und Laufzeiten zu beachten, welche Endgeräte mit diesen Zertifkaten bedient werden müssen (insbesondere wichtig bei Traveler und Smartphones).

Eine gute Übersicht und Auswahl von Zertifikaten gibt es z. B. hier: http://www.psw.net/ssl-zertifikate.cfm

Titel: Re: Frage zur Nutzung von self-signed Certificates für SSL
Beitrag von: Driri am 30.03.11 - 11:41:07

Danke für die Info und den Link. Werde ich mir mal anschauen.