[Gelöst] Internet Zertifizierungsstellen mittels Richtlinie Vertrauen!

[Braintester]

Hi,

Ich bin jetzt Admin an einem 8.5er Server und soll die Clients so einstellen, dass bestimmte Zertifikate automatisch vertraut werden.
Clients teils 6.5.3 teils 8.5.2.2

ich hab nun ein paar Internet Zertifikate (VeriSign... etc.) auf den DominoServer kopiert, bzw. waren schon teilweiße vorhanden.
Nun möchte ich am Client diesen Zertifizierungsstellen vertrauen (wahrscheinlich über richtlinie).

Um zu erklären hier der Weg wie man es am Client manuell Einstellt:
Datei->Sicherheit->Benutzersicherheit->Tätigkeiten anderer->Zertifizierungsstellen
Dort kann ich im Feld Zertifikate die Auswahl umstellen und in der Tabelle darunter der Zertifizierungsstelle mittels Haken vertrauen.

Ich habe eine Security Richtlinie am Server erstellt und mir zugewiesen.
In dieser habe ich im Reiter Keys and Certifiers ganz unten alle Zertifizierungsstellen vom Server eingetragen und auf Enforce gestellt.
Die Zertifikate scheinen dann auch in mein Adressbuch eingestellt zu werden.

Wie kann ich den oben erklärten Haken administrativ festlegen?

Mfg
Tobias

[oxyd21]

Keine Ahnung ob ich das jetzt alles kapiert habe.

Wenn du die Sicherheitseinstellungen erstellt hast, fügst du sie nur noch zu einer deiner Policies hinzu und verteilst sie somit an den gewünschten Personenkreis.

VG, Michael

[Braintester]

HI,

Richtlinie ist mir zugewiesen.

Ich suche die Konfiguration für den Haken, welche Option muss ich einstellen (Am Domino oder In der Richtlinie)

Schau mal bitte nach was dort zu finden ist:
Datei->Sicherheit->Benutzersicherheit->Tätigkeiten anderer->Zertifizierungsstellen
Dort kann ich im Feld Zertifikate die Auswahl umstellen und in der Tabelle darunter der Zertifizierungsstelle mittels Haken vertrauen.


Wie kann ich als Administrator vom Server aus in diesem Bereich haken setzten?
Am Besten direkt am Beispiel, wie kann ich allen VeriSign Zertifikaten, die dort aufgelistet sind, Global/vom Server aus vertrauen,
also die Checkbox davor anhaken?

Mfg

[oxyd21]

Also ich versteh bei dem Schreibstil nur Bahnhof.

So könnte es gehen

Schritt 1. Du trägst die Zertifizierungstellen im Administrator ein. Policies -> Certificates
Schritt 2. Du trägst diese in deine ECL-Settings ein
Schritt 3. Diese Settings verteilst du per Policy

Keine Ahnung ob das der richtige Weg ist.

[Braintester]

Hi,

Hier im Bilde:

1. Bild zeigt Date->Sicherheit-->Benutzersicherheit im Notes Client!
Die Aussage die Unterstrichen ist, die verleitet mich zur Frage.
Das Kästchen das Rot makiert ist, dass möchte ich vom Server aus fest anhaken.


2. Bild ist meine Richtlinie die bereits die Zertifikate ausliefert. <--- Das Funktioniert


Problem ist nur dass die ausgelieferten Zertifikate nicht auf "Vertrauen" gesetzt sind.

(Edit: Nach dem man es unangemeldet garnicht sieht, im Anhang sind 2 Bilder

[oxyd21]

Ich geh mal schwer davon aus, dass du die Hilfe eingehend studiert hast.

z.B.

• Pushing trusted certificates to Lotus Notes clients
• Creating an Internet cross-certificate in the Domino Directory from a certifier document

[Braintester]

Hi,

jetzt hab ichs gefunden.
//•Creating an Internet cross-certificate in the Domino Directory from a certifier document//

Ich war der Meinung das ich mehrere Zertifikate makieren kann und gegenzertifizieren.
Deswegen hab ich hinten im Administrator bei Konfiguration->Sicherheit-> Zertifikate / Werkzeuge->Zertifikate->Gegenzertifizieren gesucht.

Aber dann werd ich mit der Möglichkeit die Zertifikate jetzt einzeln gegenzertifizieren.
Das Pushen hat ja bereits Funktioniert und die getesteten Gegenzertifikate bringen auch das gewünschte ergebnis.


Danke Oxyd21
mfg

[Braintester]

Doch noch nicht ganz fertig,

Jetzts wirds vom Forumsbereich etwas schief:

Die Notes 6.5.xer Clients interessiert diese Richtlinie nicht.
Hab auf dem alten 6.er Server nachgeschaut, in der Security Richtlinie gibts den Reiter garnicht.

Wie kann ich den 6er Clients beibbringen, den Zertifikaten zu vertrauen/Gegenzertifikate zu pushen?

mfg

[oxyd21]

Da das Feature erst mit 8.5.1 kam, haste da wohl Pech gehabt. In 10 Jahren hat sich einiges getan.

Entweder migrieren oder manuell. Wobei ich immer noch nicht weiss, wozu du die Zertifikate benötigst.

[Braintester]

Komisch, im 1. Bild den Satz den ich Rot eingerahmt habe gibt es bei den 6er Clients auch?!?
Da heißt es ja das der Administrator dies evtl. bereits festgelegt hat.


Zur Sinn Erklärung:
Es kam bei einem höhergestellten Vorgesetzten dazu, dass er auf der Lufthansa Seite die Frage/Aufgabe bekam, "Gegenzertifizieren".
Ganz genau können wir es nichtmehr nachvollziehn wie er das geschafft hat.
Auftrag: Sowas soll nicht mehr vorkommen.

Somit suche ich die Möglichkeiten um soviele Zertifikate wie möglich generell freizugeben.
Ich bin der Meinung, dass man die bereits hinterlegten Zertifizierungsstellen vertrauen könne.

Vielleicht kannst du mir sogar verraten wie man ein allgemeingültiges Internet-Gegenzertifikat erstellt, dass generell die Verbindung freigibt?
(Dieses würde ich nur bei der speziellen Person hinterlegen)


mfg

[Micha B]

Ich wußte doch, dass mir das Problem irgendwie bekannt vor kam 
http://www.dominoforum.de/modules/newbb/viewtopic.php?topic_id=22885&forum=36

[Braintester]

Klingt wirklich ähnlich, da es der selbe Fall ist
Hab aber getrennt von dem Domino Forum und meinem Kollegen selber nach einer Lösung gesucht/suchen sollen


Jetzt erstmal allen ein Schönes Wochenende

Vielleicht fällt doch jemanden von früher noch ein, wie man auf einen Notes 6 Client das Zertifikat überspielen kann.
(Notes 6 ist ja bei einigen doch schon wieder lange her)

Die Notes 8.5er Clients funktionieren reibungslos!

[Micha B]

Das war eigentlich meinerseits nur als Hinweis dafür gedacht, weil die Frage nach dem Sinn auf kam und dort ja auch einiges dazu steht. Zudem: Cross-Postings darf man auch gern mal als solche Kennzeichnen und darauf verweisen.

[Braintester]

Okay. Habe bis dato nicht gewusst dass mein Kollege bereits im Domino Forum gepostet hat.
Deswegen auch kein CrossPosting Hinweis.

Nagut für 8.5. ist dieses Thema ja soweit gelöst.

Danke ich werd dann mal evtl. im 6.er Bereich weiterfragen.

Mfg
Tobias