Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: Tode am 29.11.18 - 11:17:41

Titel: Immer häufiger signierte Mails mit entsprechender Meldung...
Beitrag von: Tode am 29.11.18 - 11:17:41

Bei verschiedenen meiner Kunden kommen jetzt immer häufiger signierte Mails an (u.a. Newsletter), und die resultieren dann immer öfter in einer Meldung im Client, dass man doch bitte das Internetzertifikat gegenzertifizieren solle. Diese Meldung nervt die Benutzer.

Kann man die irgendwie unterdrücken? Oder wie geht Ihr hier vor?

Ich habe jetzt noch nicht recherchiert, sondern stelle die Frage einfach mal hier rein. Sobald ich gegoogelt habe, werde ich natürlich die Ergebnisse hier hinzufügen...

Titel: Re: Immer häufiger signierte Mails mit entsprechender Meldung...
Beitrag von: Tode am 29.11.18 - 12:13:52

OK, habe das mal anhand eines Beispiels näher untersucht. Die Meldung, die kommt, kommt nicht etwa von signierten Mails sondern daher, dass Newsletter von einer HTTPS- Seite z.B. Bilder nachladen. Die Meldung, die dann beim Client kommt, lautet:

Zitat

Das Internetservice-Zertifikat ist nicht vertrauenswürdig. Möchten Sie dies jetzt korrigieren (d. h. das Servicezertifikat abrufen und entscheiden, ob es vertrauenswürdig ist)?
bzw. englisch:
The internet service certificate is not trusted.  Do you want to take corrective action now (i.e. retrieve service certificate and decide whether to trust it)?

Der User muss dann ein Gegenzertifikat in seinem Client erstellen, dann ist für diese Domäne Ruhe.

Diese Gegenzertifikate kann man aber auch auf dem Server zentral erstellen, und per Security- Policy verteilen, wie z.B. dieser Link bei IBM (https://www.ibm.com/support/knowledgecenter/de/SSKTMJ_8.5.3/com.ibm.help.domino.admin85.doc/H_PUSHING_CERTIFICATES_TO_CLIENTS_STEPS.html) erklärt.

Muss jetzt mit den Admins- Abklären, ob wir das hier tun wollen für die gängigsten TrustedRoots.

Es reicht leider nicht, das TrustedRoot in der Zertifikate- Ansicht des Clients zu haben, man braucht wirklich ein Gegenzertifikat, damit die Meldung nicht mehr kommt.

Titel: Re: Immer häufiger signierte Mails mit entsprechender Meldung...
Beitrag von: workhorse am 07.10.21 - 13:40:28

Hallo Torsten

Der Thread ist ja nun schon einige Jahre alt. Der IBM Link funktioniert nicht mehr, aber ich nehme an, der hier entspricht in etwa dem selben bei HCL:
https://help.hcltechsw.com/domino/10.0.1/conf_pushingcertificatestoclientsthroughsecuritypolicys_t.html?hl=pushing (https://help.hcltechsw.com/domino/10.0.1/conf_pushingcertificatestoclientsthroughsecuritypolicys_t.html?hl=pushing)

Bin grade bei einem Kunden, der noch Notes 9 Clients im Einsatz hat - und natürlich ständig diese dämlichen Cross Certificate Fragen kriegt. Hat jemand schon mal experimentiert, statt einzelne Cross Certificates zu importieren, die aktuellen 'Internet Certifiers' aus einem Client zu nehmen, diese ins Directory zu kopieren und sie dann wieder per Policy in die alten Clients zu verteilen? Damit würde man sich doch eine Menge Cross Certificates ersparen.

Grüsse,
Beat