Das Notes Forum
Domino 9 und frühere Versionen => ND8: Administration & Userprobleme => Thema gestartet von: bb1743 am 30.04.14 - 15:07:43
-
Hallo,
ich bzw. wir sind neu in der Domino-Welt und stehen gerade von einem (für uns) größeren Problem.
Das SSL Zertifikat von unserem Domino läuft am 04.05. ab und soll heute verlängert werden (Info kam rechtzeitig gestern zum Feierabend ::))
Diverse Anleitungen später haben wir es nun geschafft das neu erstelle Zertifikat und den privaten Schlüssel mit XCA in eine .p12 zu exportieren und in das .kyr File zu importieren.
Jetzt ist es allerings so, dass das neue Zertifikat im Server Certificate Admin Programm angezeigt wird, allerdings auch das alte. Beim Zugriff auf unseren Webserver wird auch weiterhin nur das alte verwendet.
Wie bekommen wir jetzt den Server dazu das neue Zertifikat zu nehmen?
-
Die neue kyr-Datei und sth-Datei habt ihr in das Domino Datenverzeichnis abgelegt und im Serverdokument (bzw. Internet site) steht der Name der kyr-Datei richtig drin und ihr habt den http-Task neu gestartet?
Das sollte eigentlich ausreichen um das neue Zertifikat zu aktivieren.
Gruß,
Thorsten
-
Wir haben die bereits vorhande .kyr genommen und dort das verlängerte Zertifikat inkl. Privatem Key mithilfe von XCA und ikeyman hinzugefügt.
HTTP Dienst ist auch neu gestartet.
-
Da es leider mit dem Import nicht klappte, haben wir es auf anderem Weg versucht.
Über den Update Request im Server Certificate Admin haben wir den Request Code beim Provider (Domain Factory) eingefügt und die Antwort im Domino.
Lt. Domino und Domain Factory soll der Vorgang erfolgreich abgeschlossen sein, im Domino ist nun auch beim KeyRing die Verlängerung zu sehen, jedoch nicht wenn die Seite über HTTPS aufgerufen wird, hier erscheint nach wie vor die alte Gültigkeit (Trotz neustart des Servers).
Woran liegt es bzw. wo können wir ansetzen um das Zertifikat nun auch zu nutzen?
-
Also habt Ihr nun rausgefunden, wie man es "normalerweise" macht. Habt Ihr denn auch die kyr und sth auf dem Server ausgetauscht?
-
Wie ich gerade herausgehört habe, wurde der Prozess direkt per RDP auf dem Server durchgeführt, daher sind die Dateien auf dem Server selber verändert worden.
-
Haben die Prozedur nun noch einmal exakt wie in der IBM-Anleitung beschrieben durchgeführt, Dateien auf den Server kopiert und noch einmal den KeyRing zur Anzeige ausgewählt. Hier wird auch die neue Gültigkeit angezeigt.
Allerdings kam nun beim starten in der Domino Console die Meldung "ssldisabledexport ciphers", welche wir nach dieser Anleitung (http://www-01.ibm.com/support/docview.wss?uid=swg21095876) in den Griff bekommen haben.
Allerdings wird nach wie vor das alte Zertifikat beim Zugriff auf die Seite angezeigt...
-
WO liegen die kyr und sth- Dateien GENAU (nenne mir mal den EXAKTEN Speicherort. Denn die Anzeige in der Certsrv sagt GAR NIX darüber, ob der Server die Dateien findet oder nicht. Und wenn Ihr das per "RDP" auf dem Server gemacht habt, dann muss dort ein Admin- Client oder zumindest ein Notes- Client installiert sein. Das widerum heisst, Ihr habt mindestens 2 Data- Verzeichnisse...
Deshalb meine Nachfrage: Wenn die certsrv bestätigt, dass alles richtig ist, dann MUSS das auch klappen, es sei denn, die Dateien liegen am falschen Ort...
Ach ja: Was genau ist denn im Serverdokument eingetragen, welche kyr er verwenden soll?
-
Und wenn Ihr das per "RDP" auf dem Server gemacht habt, dann muss dort ein Admin- Client oder zumindest ein Notes- Client installiert sein. Das widerum heisst, Ihr habt mindestens 2 Data- Verzeichnisse...
::) DANKE!! Genau das war das Problem an der Sache.... haben es an die falsche Stelle kopiert.
Uns war nicht klar, dass es zwei Installationsverzeichnisse geben kann/muss in dieser Konstellation.
Es läuft jetzt alles wunderbar, Danke nochmal für die Hilfe bzw. den Wink mit dem Pfahl ;-)
-
Schön... im übrigen war schon die ERSTE Nachfrage von Thorsten (Pfefferminz-T) GENAU darauf gerichtet... Du hättest Euch und allen beteiligten also viel Zeit sparen können...