Cross-Zertifizierung im Client automatisieren

[SD]

Hallo!

Ich habe eine Frage zu Cross-Zertifizierungen. Vielleicht hatte hier ja schonmal jemand ein ähnliches Problem.

Problemstellung:
Es gibt hier in einer Umgebung verschiedene Organisations, bzw. genauer verschiedene Country-Suffixes.
Es gibt z.B. Server mit O=Acme/C=DE und Server mit O=Acme/C=US, aber auch Benutzer mit z.B. /O=Acme/C=NL oder /O=Acme/C=CH, die dann auf diesen Servern arbeiten.

Damit die Server miteinander kommunizieren können, lege ich die Cross-Zertifikate im Domino Directory an. Damit die Clients auf die Server können, müssen die aber wohl Cross-Zertifikate im lokalen names.nsf haben. Das ist nun ein wenig nervig, da dann jeder Client beim ersten Serverzugriff auf "Ja" klicken muss. Wenn er mal auf einen Server in einem anderen Land zugreifen will, muss er nochmal auf "Ja" drücken.

Ich würde das nun gerne automatisieren. Sprich ich würde gerne in die Client-Adressbücher von vorneherein die Cross-Zeritifikate zu allen möglichen Server-Certifiern hineinpumpen. Die Cross-Certify-Dokumente anlegen kriege ich auch bereits hin. Ich habe nun allerdings das Problem, dass diese im Feld Certificate_NoEnc das eigentliche Zertifikat abspeichern. Da steht dann sowas wie "0400AE01 AB6BB2F7 24G0......" und zwar leider, leider bei jedem Benutzer etwas anderes. Gibt es eine Möglichkeit diesen Key selbst zu berechnen? Irgendwie aus dem Private Key des Benutzers und dem Public Key des Certifiers oder sowas? Ich weiß leider nicht aus was sich dieses Certificate_NoEnc zusammensetzt. 

Gruß
Stefan

[Tode]

Wie Du richtig erkannt hast, berechnet sich das Cross-zertifikat aus der User- id... Was Du mal probieren kannst ist: erstelle mal ein cross- certificate auf höchster ebene (hast Du ja wahrscheinlich schon im domino- directory, nur für die falsche Richtung), also ohne dass user involviert wären... Wenn Du dieses Top- Level Cross- Zertifikat ins user- adressbuchnkopierst, dann sollte das auch funktionieren...

[blizzard]

Ja, du solltest nen TopLevel Cross machen und dieses dann per Security Policy an die User Clients verteilen.

Andere Frage: Wie kommt man auf die bescheuerte Idee das ganze so zu planen und so zu machen? Ich würde (wenn politisch möglich) alles mal über den Haufen werfen und konsolidieren. Sprich eine Domäne und die Server und User per OU zu sortieren.

[m3]

Hallo!

Ich habe eine Frage zu Cross-Zertifizierungen. Vielleicht hatte hier ja schonmal jemand ein ähnliches Problem.

Problemstellung:
Es gibt hier in einer Umgebung verschiedene Organisations, bzw. genauer verschiedene Country-Suffixes.
Es gibt z.B. Server mit O=Acme/C=DE und Server mit O=Acme/C=US, aber auch Benutzer mit z.B. /O=Acme/C=NL oder /O=Acme/C=CH, die dann auf diesen Servern arbeiten.

Sorry, dass ich jetzt nochmal nachfrage, aber meinst Du nun unterschiedliche Domains, oder nur unterschiedliche Cs bzw. Os? Wenn sie aller in der gleichen Domain sind (also alle vom gleichen Certifier abstammen), sollte eine Cross-Zertifizierung IIRC nicht notwendig sein.

[Tode]

@m3: die können gar nicht alle vom gleichen cErt abstammen, weil sie alle ein anderes Länderkürzel haben...

[SD]

Hallo,

ja, dadurch dass es unterschiedliche Cs sind, sind alle user aus den verschiedenen Ländern von unterschiedlichen Certifiern abgeleitet.

Die Tips werde ich mir mal anschauen, danke dafür.

Und ja, die Country-Suffixes wegzukegeln werde ich mir auch anschauen. Es ist mir eh ein bisschen schleierhaft, was dieses Feature überhaupt soll. Hrmpf.

[blizzard]

Die Country Zugehörtigkeiten machen vielleicht schon Sinn, aber nicht so.

Wie wärs mit so einer Struktur:
Max Mustermann/OU/O

Dann kannst via OU immer noch schön nach Land zertifizieren und hast kein so ge-eiere mehr. Die Server kannst du dann direkt auf O-Eben zulassen oder auch in dem jeweiligen Land.

[SD]

Ja, schöner wäre das.

Allerdings haben die User und die Server dann doch weiterhin eine unterschiedliche O, oder nicht? Die User haben /Acme, die Server haben /Acme/DE oder /Acme/US.

Da hätten wir doch im Grunde nichts gewonnen, oder sehe ich das falsch?

[Driri]

Matthias meint das so :

User/DE/Acme bzw. User/US/Acme.

Du ziehst das Country-Kürzel also einfach auf OU-Ebene. Somit stammen dann alle User und Server von der selben Organisation ab.

[SD]

Ja, das dachte ich mir schon so. Allerdings müssen wir dann die Server umzertifizieren und das wird kein Spaß. Das sind über 20 Kisten, rund 1000 User auf der ganzen Welt und eine dreistellige Zahl an Applikationen. Das geht nicht mal so eben nebenher.

Die Option dürfte leider flach fallen.

[Driri]

Das müßt ihr wissen. Der einmalige Aufwand ist sicherlich nicht ohne und das sollte auch gut geplant werden. Dafür spart ihr natürlich beim täglichen Aufwand in der Administration und ich halte das Konstrukt auch für "stabiler" und auf jeden Fall wartungsfreundlicher.

Wir haben eine Rezertifizierung unserer kompletten Infrastrukur vor ca. 7 Jahren durchgemacht (wg. Fusion). Wir hatten zwar alle relevanten Server und User auch vorher schon in einer Cert-Struktur, aber wir haben die Chance auch direkt genutzt und die OU-Struktur aufgeräumt und den aktuellen Gegebenheiten angepaßt. Das erspart uns heute z.B. gerade bei Berechtigungen einigen Aufwand in der Administration, da wir oft mit Wildcards arbeiten können.

[m3]

@m3: die können gar nicht alle vom gleichen cErt abstammen, weil sie alle ein anderes Länderkürzel haben...

Ich Depp. Ja natürlich. 
Ich schließe mich der Empfehlung, hier umzuzertifizieren an.