Neueste Beiträge

Seiten: 1 ... 8 9 [10]
91
Administration & Userprobleme / Antw:Certstore issued
« Letzter Beitrag von Peter Klett am 13.03.24 - 13:59:25  »
Vielen Dank,

ein Schritt weiter: habe nun alle Ciphers im InternetSite Dokument aktiviert und den INI Eintrag USE_WEAK_SSL_CIPHERS=1 gesetzt, beim Neustart des Servers loggt er auch, dass diverse Ciphers nun durch den Eintrag enabled sind. Vom Client komme ich dadurch mit 10.0.0.3:444 auf die Seite, natürlich mit Zertifikatfehler, es wird das korrekte Zertifikat ausgegeben.

Von draußen passiert aber nichts. ssllabs sagt: Assessment failed: Unable to connect to the server, auch bei abgeschalteter Firewall

Die Portweiterleitung kann eigentlich nicht falsch sein. Hatte bisher eine für 443, die auf einen Exchange-Server geleitet wurde, der wird abgebaut und ich habe in dem Eintrag nur den Server geändert und die Umleitung auf den Port 444 wg. G DATA, die 443 auf dem gleichen Server schon belegt haben



 
92
Entwicklung / Antw:xpage mit fullcalendar widget
« Letzter Beitrag von HH am 13.03.24 - 13:10:04  »
Danke, hatte auch bereits nach einer Alternative gesucht, leider aber nichts gefunden.

Gruß
Hubert
93
Administration & Userprobleme / Antw:Certstore issued
« Letzter Beitrag von Christian Kröll am 13.03.24 - 11:03:39  »
- Habt Ihr geprüft, ob im Serverdokument die TLS ciphers zum Zertifikat im Store passen? (https://www.ssllabs.com/ssltest/)
- Der Client mag einen zu hohen TLS Cipher nicht unterstützen. Dann muss am Server auch der niedrigere aktiviert sein. Dazu braucht es dann aber auch einen notes.ini Eintrag
Das muss alles zueinander passen
Infos u.a. hier: https://blog.nashcom.de/nashcomblog.nsf/dx/tls-ciphers-in-domino-14.0.htm

94
Administration & Userprobleme / Antw:Certstore issued
« Letzter Beitrag von Peter Klett am 13.03.24 - 09:04:33  »
Heute früh mit sehr professioneller Hilfe weiter gemacht, aber nach 1,5 Stunden läuft es noch nicht. Das wurde erkannt/geändert

Das Noteslog bemängelte beim Start des http tasks ein kyr file, wie im Serverdokument angegeben kyrfile.kyr. In der certstore.nsf wude dann das Credentials Dokument gelöscht und neu angelegt, zusätzlich das kyr file eingetragen und angefordert. War eine Minute später da (das funktioniert wirklich gut). Start des http loggt kein fehlendes kyr file mehr

Am Server fehlte die Freigabe für den Port 444 in der Firewall, wurde ergänzt. Wir haben jetzt diesen Zustand:

Am Server ein localhost:444 bringt einen Zertifikatsfehler (logisch), funktioniert dann aber. Im Noteslog steht nichts über den Zugriff. Das verwendete Zertifikat ist korrekt

Am Server ein 10.0.0.3:444 funktioniert genauso (interne IP Adresse des Servers)

Am Client ein 10.0.0.3:444 gibt sofort zurück, dass die Seite nicht geöffnet werden kann, im Noteslog werden diese Einträge produziert

Code
13.03.2024 08:12:54   TLS/SSL connection 10.0.0.29(60695) -> 10.0.0.3(444) failed with rejected unknown record type
13.03.2024 08:12:54   TLS/SSL connection 10.0.0.29(60696) -> 10.0.0.3(444) failed with rejected unknown record type
13.03.2024 08:12:54   TLS/SSL connection 10.0.0.29(60697) -> 10.0.0.3(444) failed with rejected unknown record type
13.03.2024 08:12:54   TLS/SSL connection 10.0.0.29(60698) -> 10.0.0.3(444) failed with rejected unknown record type
13.03.2024 08:12:54   TLS/SSL connection 10.0.0.29(60699) -> 10.0.0.3(444) failed with rejected unknown record type
13.03.2024 08:12:54   TLS/SSL connection 10.0.0.29(60700) -> 10.0.0.3(444) failed with rejected unknown record type
13.03.2024 08:12:54   TLS/SSL connection 10.0.0.29(60701) -> 10.0.0.3(444) failed with rejected unknown record type
13.03.2024 08:12:54   TLS/SSL connection 10.0.0.29(60702) -> 10.0.0.3(444) failed with rejected unknown record type
13.03.2024 08:12:54   TLS/SSL connection 10.0.0.29(60703) -> 10.0.0.3(444) failed with rejected unknown record type
13.03.2024 08:12:54   TLS/SSL connection 10.0.0.29(60704) -> 10.0.0.3(444) failed with rejected unknown record type

Wenn die Firewall den Zugriff blockieren würde, käme nach meinem Verständnis nichts am Server an. Frage, was ist es dann? Warum reagiert der Server anders, wenn er von einer anderen Maschine aus angesprochen wird? Wir waren beide ratlos (bei mir ist das in dem Umfeld nichts ungewöhnliches ;-) ) und hoffen auf einen Tipp von Euch

Vielen Dank vorab
95
Entwicklung / Antw:xpage mit fullcalendar widget
« Letzter Beitrag von spookycoder am 13.03.24 - 08:37:56  »
Ein anderes CDN benutzen, wie https://cdnjs.cloudflare.com/ajax/libs/fullcalendar/6.1.11/index.global.min.js


Ich glaub in den xPages kriegt man das mit biegen und brechen nicht hin, weil es für das Script Element kein escape="false" attribut kriegt. Auch über ein WebTheme kriegt man das nicht hin.
96
Administration & Userprobleme / Antw:Certstore issued
« Letzter Beitrag von Peter Klett am 12.03.24 - 18:15:51  »
Zitat von: Christian Kröll am 12.03.24 - 18:12:12
Im Serverdokument hast Du sicher den Full Qualified Internet host name gesetzt?
Danke für die Übersetzungshilfe, bin ich genau zeitgleich auch drauf gekommen :-D

Würde er ohne den Full Qualified Internet host name auf http reagieren und nur nicht auf https?

Ich schaue morgen mal weiter
97
Administration & Userprobleme / Antw:Certstore issued
« Letzter Beitrag von Peter Klett am 12.03.24 - 18:12:36  »
Ah, witzige Fremdsprachenfalle. Issued heißt "ausgestellt", sagt DeepL, ich dachte, es wäre ein "issue" damit, habe das also als Problem übersetzt.

Ok, bleibt die Suche beim Server, warum der auf http reagiert, aber nicht auf https, certstore scheint gut zu funktionieren (wirklich sehr einfach), sieht aus, als wäre ich ganz kurz vor der Lösung ...
98
Administration & Userprobleme / Antw:Certstore issued
« Letzter Beitrag von Christian Kröll am 12.03.24 - 18:12:12  »
Der Status "Issued", bei unserer deutschen Maske "ausgegeben" und der Status "Valid" ist richtig.
Das Zertifikat hast Du sicherlich im Credential Store ja auch schon mit "Examine internet certificates" geprüft. Da steht die Zertifikatskette und nach Auswahl eines Eintrags die Details. Ich gehe davon aus, dass das alles passt?

Ich würde in der G-Data den https-Scan mal kurz unterbrechen und schauen, ob dann der Verkehr über 443 überhaupt klappt. Im Serverdokument hast Du sicher den Full Qualified Internet host name gesetzt? Kannst Du an den Server ohne den Router einen telnet auf hostname + Port schicken?
Kann ja nur eine blöde Kleinigkeit sein...

Erstmal trotzdem einen schönen Abend Peter!
99
Administration & Userprobleme / Antw:Certstore issued
« Letzter Beitrag von Peter Klett am 12.03.24 - 14:01:06  »
Vielen Dank für die Antworten, Doku hatte ich schon einiges gelesen, aber keine war so gut verständlich wie das Tutorial.

Danke auch für den Hinweis, dass nichts zu im- oder exportieren ist. also sollte es eigentlich so aus der Box heraus funktionieren.

Habe nun die Credentials gelöscht, neu angelegt und neu angefordert. Der DNS-A-record sollte nach meinem Verständnis in Ordnung sein, ist ja nur eine Zuordnung einer Domain zu einer IP-Adresse. Domain stimmt, IP auch.

Habe dann am Router die 443 auf die 443 umgeleitet und im Serverdokument https auf 443 gesetzt (enabled war es schon), erhalte dann wieder den Zertifikatsfehler mit Ausweis des G DATA Zertifikats, Gültigkeitsdauer 1000 Jahre.

Also wieder rückwärts, Router gibt 443 weiter auf 444, Serverdokument auf 444 geändert. Daamit komme ich nicht weiter.

Ich sehe zwei Möglichkeiten:

1. irgendetwas muss am Server noch eingerichtet werden, damit er überhaupt auf https hört
2. das Zertifikat ist nicht korrekt eingebunden, es zeigt auch nach dem neuen Versuch ein "Valid" im unteren Status, oben in der ersten Zeile steht wieder "Issued"


Das mit dem Link von der http Seite auf eine andere https-Seite ist hier nicht relevant, der https-Server läuft ganz woanders, war nur eine Erklärung, warum ich schon gerne https für den Domino nutzen würde

Gibt es irgendeinen trick, an den Grund des "Issued" heranzukommen?

Aus dem Log kann ich noch diese Fehlermeldung liefern

12.03.2024 13:21:44   HTTP Server: Error - Unable to Bind port 443, port may be in use or user needs net_privaddr privilege

Das ist vermutlich der G DATA, der auf den 443 lauscht, also wohl korrekt, den Port auf 444 umgebogen zu haben



100
Administration & Userprobleme / Antw:Certstore issued
« Letzter Beitrag von Christian Kröll am 12.03.24 - 12:53:35  »
Hallo Peter,

da du wohl ein LetsEncryptCertifikat angefordert hast, musst Du auch nichts mehr in das Zertifikat importieren. Das ist nur nötig, falls Du ein Zertifikat bei einem Dienstleister bestellt hast.

wenn Deine Antivirus-Software am Client den https-Verkehr scant, setzt sie sich zwischen die Verbindung Server-Client. Grund ist, dass zB ein Download aus dem Web nicht erst auf deinem Rechner gespeichert wird und dann erst auf Viren geprüft wird. Die Software taucht dann als eigener CA auf. Das kann dann "G Data", "Bitdefender", "R3" oder ein anderer CA Name sein. Als Test einfach mal mit dem Handy auf deine Seite gehen, da dürfte der Name anders sein oder im Antiviren-Programm des Clients den https-scan abschalten.

Ob das LetsEncyptCertifikat verwendet wird, kannst Du auch über das Gültigkeitsdatum prüfen. Sollte zum Datum im Certificate Store identisch sein.

Woher nun aber das SEC_ERROR_UNKNOWN_ISSUE kommt, kann ich Dir nicht sagen. BTW: ISSUE oder ISSUER?
Du schreibst:
Zitat
obwohl von der http-Seite ein Link auf einem https-Server gestartet wird
Vielleicht liegt ja hier die Ursache, weil dein neues Zertifikat ein anderes ist als das auf dem https-Server und der Browser deswegen ein Problem mit dem Issuer hat. Aber das ist nur geraten!!!
Seiten: 1 ... 8 9 [10]
Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz