AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
26.09.18 - 09:17:02
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News:
Schnellsuche:
+  Das Notes Forum
|-+  Lotus Notes / Domino 9
| |-+  ND9: Administration & Userprobleme (Moderatoren: Axel, Thomas Schulte, koehlerbv)
| | |-+  Letsencrypt und Domino - hat das jemand automatisiert?
« vorheriges nächstes »
Seiten: [1] 2 Nach unten Drucken
Autor Thema: Letsencrypt und Domino - hat das jemand automatisiert?  (Gelesen 4875 mal)
Tode
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6036


Geht nicht, gibt's (fast) nicht... *g*


« am: 03.07.17 - 09:08:21 »

Ich habe für meinen privaten Domino bisher die kostenlosen Zertifikate von StartCOM verwendet. Diese werden aber von Chrome und Firefox nicht mehr als "sicher" akzeptiert. Also muss ich mir eine andere Alternative suchen und bin bei Let's encrypt gelandet.

Das Einbinden eines Let's Encrypt- Zertifikats via kyrtool / openssl ist ja kein Hexenwerk, dafür habe ich mein Vorgehen, das kostet mich keine 5 Minuten. Aber dummerweise muss man das ja alle 90 Tage machen (und darf es nicht vergessen).

Ich habe gesehen, es gibt ein OpenNTF- Projekt, das die Webserver- Seite abhandelt (also den Hash- Wert liefert, wenn Let's- Encrypt den abfragt).

Ausserdem gibt es mit certbot ein Linux- basiertes Tool, was Chron- gesteuert die Zertifikate runterladen kann.

Da mein Server auf Linux läuft, wäre mein Ansatz jetzt:

- Die Datenbank vom OpenNTF- Projekt um einen Agenten erweitern, der regelmäßig läuft
- Der ruft den certbot auf, der speichert das aktuelle Zertifikat.
- Dann das kyrtool aufrufen, um das Zertifikat über import certs einzulesen
- http neustart (obwohl das u.U. nicht nötig ist, ich meine, der liest die kyr- Datei selbständig regelmässig neu ein.

Ist ja alles in allem nur wenig code (<100 Zeilen), deshalb meine Frage: Hat das schon jemand umgesetzt?
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
JoachimB
Frischling
*
Offline Offline

Beiträge: 30


« Antworten #1 am: 03.07.17 - 09:16:38 »

Noch nichts gefunden.
Mache das bei uns auch Immer noch Manuell.
Gespeichert

IBM Notes/Domino Administration und Entwicklung seit 2001
umi
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 2013


one notes to rule'em all, one notes to find'em....


WWW
« Antworten #2 am: 03.07.17 - 16:45:18 »

Moin
Warum nicht mit einem Nginx Proxy vor dem Domino? https://www.digitalocean.com/community/tutorials/how-to-secure-nginx-with-let-s-encrypt-on-ubuntu-16-04
Gespeichert

Gruss

Urs

<:~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Jegliche Schreibfehler sind unpeabischigt
http://www.belsoft.ch
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~:>
Tode
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6036


Geht nicht, gibt's (fast) nicht... *g*


« Antworten #3 am: 03.07.17 - 17:17:31 »

wird mir in meiner Umgebung zu komplex. Ich habe schon ein Programm vorgeschaltet, der HTTPS und SSH auf Port 443 unterscheidet und dementsprechend intern weiterroutet, wenn ich da nochmal einen Webserver zwischensetze, wird mir das zu komplex...
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
Flachmann
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 121



« Antworten #4 am: 27.07.17 - 14:35:21 »

Ich habe mich aufgrund dieses Artikels auch mit LetsEncrypt versucht. Danke für den Hinweis.  Smiley  Es gibt für die Windows-Umgebung https://github.com/Lone-Coder/letsencrypt-win-simple. Hat damit schon jemand Erfahrungen?

Die Idee ist letztlich die Zertifizierung zu automatisieren, wie bei Tode. Da ich aber kein SSL-Experte bin, tue ich mich aber schon mit dem Start schwer.

Mein Aufruf lautet:
Code:
letsencrypt.exe --emailaddress adresse@somewhere.de --usedefaulttaskuser --accepttos --manualhost host.de --webroot "D:\Domino\Data\html"

Dies erzeugt folgende Dateien:
host.de-all.pfx
host.de-chain.pem
host.de-crt.der
host.de-crt.pem
host.de-csr.pem
host.de-gen-csr.json
host.de-gen-key.json
host.de-key.pem
ca-C70C419800000154857B6A0B85ECA718-crt.pem


Es werden sicher nur die .pem-Dateien benötigt.
-key.pem ist wohl mein privatekey;
-chain.pem ist wohl mein chain.pem;
-crt.pem ist wohl mein cert.pem;
für die -crt.pem habe ich keine Idee. - Die .pfx, .der und .json- Dateien sind wohl für IIS oder sonst etwas.

Ich habe auch die Root- und Intermediate-Zertifikate von https://letsencrypt.org/certificates/ runter geladen:
"SRG Root X1 (self-signed)", "Let’s Encrypt Authority X3 (IdenTrust cross-signed)" und "Let’s Encrypt Authority X3 (Signed by ISRG Root X1)".

Dann alle Zertifikate in eine Datei kopiert und geprüft:
Code:
kyrtool.exe ="C:\Program Files\IBM\Domino\notes.ini" verify "server.txt"

Das liefert:
       KyrTool v1.1

Successfully read 2048 bit RSA private key
INFO: Successfully read 4 certificates
INFO: Private key matches leaf certificate
INFO: IssuerName of cert 0 matches the SubjectName of cert 1
ERROR: IssuerName of cert 1 does NOT match the SubjectName of cert 2
INFO: IssuerName of cert 2 matches the SubjectName of cert 3
INFO: Final certificate in chain is self-signed


Der ERROR kommt aus der -chain.pem, die zwei Zertifikate enthält. Wenn ich das zweite Zertifikat entferne, läuft das ohne ERROR durch. Komisch.

Wenn ich dies dann in meinen Keyring installiere (kein Fehler) und die HTTP-Task neu starte, habe ich folgende Ergebnisse:

In Firefox:
https://host.de/            -> Kein Problem! Zertifikat ist OK
https://www.host.de/    -> SSL_ERROR_BAD_CERT_DOMAIN

In Chrome:
https://host.de/            -> meldet das Zertifikat der Seite als unsicher
https://www.host.de/    -> meldet das Zertifikat der Seite als unsicher

In IE:
https://host.de/            -> meldet das Zertifikat der Seite als unsicher, erlaubt dann das aber zu ignorieren
https://www.host.de/    -> meldet das Zertifikat der Seite als unsicher, erlaubt dann das aber zu ignorieren


Hat jemand eine Idee? Ist wahrscheinlich nur eine Kleinigkeit, aber ich probiere schon eine gefühlte Ewigkeit rum; lasse mal dieses, mal jenes Zertifikat weg.

Gespeichert

Gruß,
  __________
  _/_
  /lachmann
JoachimB
Frischling
*
Offline Offline

Beiträge: 30


« Antworten #5 am: 27.07.17 - 15:02:38 »

Das Letsencrypt Win Simple unterstützte bei mir nur einen Hostnamen und genau dafür gilt das Zertifikat dann nur.
Also so wie du das angegeben hast gilt es dann halt nur für host.de nicht für www.host.de

Da Ich die Zertifikate weiterhin mit der Hand erstelle nutze ich dafür einen Webseiten basierten LetsEncrypt Client.
https://www.sslforfree.com/

Da gebe Ich dann einfach alle Varianten und Domains an die Ich brauche also immer:
host.de www.host.de host2.de www.host2.de

@Edit:
Übersicht der möglichen LetsEncrypt Clients: https://letsencrypt.org/docs/client-options/
Anleitung wie man das in Domino einbaut und welche Dateien man benötigt:
https://xomino.com/2016/02/18/adding-your-lets-encrypt-ssl-certificate-into-your-domino-keyring-file/
« Letzte Änderung: 27.07.17 - 15:04:34 von JoachimB » Gespeichert

IBM Notes/Domino Administration und Entwicklung seit 2001
Flachmann
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 121



« Antworten #6 am: 27.07.17 - 18:41:43 »

Hallo JoachimB,

danke für den Tipp. Die Liste der Clients und die Anleitung von Marky Roden kannte ich schon. Letzte war die Anleitung, die ich als Einstieg verwendete. Lediglich geht er dann über einen Unix-Client, was ich ja vermeiden möchte.

'SSL For Free' habe ich probiert und auf der Startseite meine beiden Host-Adressen eingegeben. host.de und www.host.de (um beim Beispiel zu bleiben). Dann die beiden Prüf-URLs auf dem Domio-Server aktiviert und letztlich wurden Zertifikate erstellt. Die konnte ich als .zip-Datei runterladen. Inhalt:
ca_bundle.crt
certificate.crt
private.key


Damit ist kyrtool aber auch nicht zufrieden:
        KyrTool v1.1

Successfully read 2048 bit RSA private key
INFO: Successfully read 2 certificates
ERROR: Private key does not match leaf certificate
ERROR: IssuerName of cert 0 does NOT match the SubjectName of cert 1
WARNING: Final certificate in chain is not self-signed


Auch mit den Root- und Intermediate-Zertifikaten von oben sieht es nicht besser aus.
isrgrootx1.pem
lets-encrypt-x3-cross-signed.pem
letsencryptauthorityx3.pem



Jetzt stehe ich total auf dem Schlauch. Wie machst Du das denn?
Gespeichert

Gruß,
  __________
  _/_
  /lachmann
JoachimB
Frischling
*
Offline Offline

Beiträge: 30


« Antworten #7 am: 28.07.17 - 09:15:01 »

Ich habe auf dem Domino leider nur einen direkten Hostnamen ohne www beim Domino Server (host1.host.de).

Da Ich auch die Zertifikate für 2 weitere Web Server erstelle wo wir keine Root Rechte habe nutze ich dort für Normale Web Adressen genau das.

Hast du das ohne www als erstes angegeben (host.de) das würde ich versuchen, der Domino wird bestimmt versuchen sich damit abzugleichen.
Gespeichert

IBM Notes/Domino Administration und Entwicklung seit 2001
Flachmann
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 121



« Antworten #8 am: 28.07.17 - 09:28:29 »

Wenn Du nur eine Host-Adresse hast, würde doch letsencrypt-win-simple für Dich genügen, oder? Dann könntest Du das über einen einfachen Batch-Prozess laufen lassen.

Das www. wird nicht automatisch mit akzeptiert. S.o.:
In Firefox:
https://host.de/            -> Kein Problem! Zertifikat ist OK
https://www.host.de/    -> SSL_ERROR_BAD_CERT_DOMAIN


Gespeichert

Gruß,
  __________
  _/_
  /lachmann
Tode
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6036


Geht nicht, gibt's (fast) nicht... *g*


« Antworten #9 am: 29.07.17 - 13:46:28 »

Erst mal eine Antwort für Flacchmann:

Die Datei für Verify muss die Daten in der RICHTIGEN REIHENFOLGE enthaten:

1. Key
2. DEIN Zertifikat (certificate.crt)
3. Chain (ca_bundle.crt)
4. Root (bei mir war im Bundle die Root nicht mit drin, die musste ich manuell runterladen und hinzufügen)

Dann klappt auch das Verify und der Import.

Da ich auf Linux bin, habe ich mir aber jetzt das ganze drumherum gespart und einfach die vorhandenen Werkzeuge verwendet und date mit einem Chron- Job ab.

1. Zertifikate mittels certbot erstellen / updaten:

ERSTELLEN:
./certbot-auto certonly --webroot -w /local/notesdata/domino/html -d www.meinedomain.de -d meinedomain.de -d sub.anderedomain.de

UPDATEN:
./certbot-auto renew

Das erstellt im Verzeichnis /etc/letsencrypt/live/www.meinedomain.de die nötigen Dateien.

2. Root- Zertifikat runterladen und ins Verzeichnis als root.pem stellen

3. kyr Datei generieren (einmalig)
/opt/ibm/domino/bin/tools/startup kyrtool =/local/notesdata/notes.ini create -k /local/notesdata/letsencrypt-multi.kyr -p MyFancyPassword

4. Datei für kyrtool generieren
cat privkey.pem fullchain.pem root.pem >letsencrypt-multi.txt

5. Datei prüfen
/opt/ibm/domino/bin/tools/startup kyrtool =/local/notesdata/notes.ini verify /etc/letsencrypt/live/www.familylink.de/letsencrypt-multi.txt

6. Datei importieren
/opt/ibm/domino/bin/tools/startup kyrtool =/local/notesdata/notes.ini import all -k /local/notesdata/letsencrypt-multi.kyr -i /etc/letsencrypt/live/www.familylink.de/letsencrypt-multi.txt

7. http durchstarten

Die --webroot- Option erstellt innerhalb des Domino- Html- Verzeichnisses die nötigen Challenge- Dateien automatisch, und so lange der Domino läuft und diese ausliefert, läuft das Ding automatisch durch.

Der http- Task liest immer bei Gelegenheit die neuen Zertifikate ein - VOILA.. Und wenn nicht, reicht ein tell http restart.
Da ich aber sowieso den Domino für Backup Nachts kurz runterfahre, ist spätestens am nächsten tag das erneuerte Zertifikat vorhanden.
« Letzte Änderung: 29.07.17 - 14:17:17 von Tode » Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
Flachmann
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 121



« Antworten #10 am: 01.08.17 - 11:28:05 »

Ok, danke. Dass die Reihenfolge bedeutsam ist, war mir nicht klar. Mal sehen, wie weit ich jetzt komme.
Gespeichert

Gruß,
  __________
  _/_
  /lachmann
Flachmann
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 121



« Antworten #11 am: 04.08.17 - 21:55:36 »

Leider tut's immer noch nicht, vielleicht kannst Du ja nochmal Klarheit bringen. Der Aufruf von letsencrypt-win-simple erzeugt diese fünf .pem-Dateien:

host.de-chain.pem  <- ca-bundle? Enthält zwei Zertifikate, beginnen mit BEGIN CERTIFICATE
host.de-crt.pem    <- mein Zertifikat? Startet mit BEGIN CERTIFICATE
host.de-csr.pem    <- weiß nicht was das ist, beginnt mit BEGIN CERTIFICATE REQUEST, wird wohl nicht benötigt
host.de-key.pem    <- private key, BEGIN RSA PRIVATE KEY
ca-0C0142490000B4B38A72640585ECF408-crt.pem  <- dies ist das Issuer-Zertifikat; BEGIN CERTIFICATE

Außerdem habe ich mir noch diese Root- und Intermediate-Zertifikate von Let's Encrypt runter geladen:
isrgrootx1.pem
lets-encrypt-x3-cross-signed.pem
letsencryptauthorityx3.pem

Das ganze habe ich dann zusammen kopiert mit
Code:
TYPE host.de-key.pem host.de-crt.pem host.de-chain.pem letsencryptauthorityx3.pem isrgrootx1.pem > "F:\Cert\server.txt"

Die Prüfung mittels
Code:
kyrtool ="C:\Program Files\IBM\Domino\notes.ini" verify "F:\Cert\server.txt"
liefert dann diverse Fehlermeldungen
Successfully read 2048 bit RSA private key
INFO: Successfully read 5 certificates
INFO: Private key matches leaf certificate
ERROR: IssuerName of cert 0 does NOT match the SubjectName of cert 1
INFO: IssuerName of cert 1 matches the SubjectName of cert 2
ERROR: IssuerName of cert 2 does NOT match the SubjectName of cert 3
INFO: IssuerName of cert 3 matches the SubjectName of cert 4
INFO: Final certificate in chain is self-signed


Ich habe schon verschiedene Reihenfolgen probiert, komme aber auf keine Kombination, die nur INFO-Meldungen erzeugt.

Wie kann man denn feststellen, welche Zertifikate fehlen bzw. wo die Reihenfolge klemmt (nerv)?
« Letzte Änderung: 04.08.17 - 22:16:28 von Flachmann » Gespeichert

Gruß,
  __________
  _/_
  /lachmann
Tode
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6036


Geht nicht, gibt's (fast) nicht... *g*


« Antworten #12 am: 05.08.17 - 18:42:27 »

Ich würde sagen, Du brauchst host.de-key.pem, host.de-chain.pem (wenn Du vergleichst, ist vermutlich das erste Zertifikat aus chain = dem zertifikat aus host.de-crt.pem) und ca-.....pem. Installier Dir auf jeden Fall mal openssl light for win, damit kannst Du die Dateien untersuchen, wenn das so immer noch nicht geht.
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
Flachmann
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 121



« Antworten #13 am: 05.08.17 - 19:58:36 »

Ich bin inzwischen auch etwas weiter gekommen und Deine Vermutung ist wohl korrekt! Mit
Code:
kyrtool show certs -i <pem-Datei>

kann man so nach und nach die Zertifikatsinformationen anzeigen (wusste ich zuvor nicht):

Using PEM file path 'isrgrootx1.pem'
Subject:       CN=ISRG Root X1/O=Internet Security Research Group/C=US
Issuer:         CN=ISRG Root X1/O=Internet Security Research Group/C=US

Using PEM file path 'letsencryptauthorityx3.pem'
Subject:       CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US
Issuer:         CN=ISRG Root X1/O=Internet Security Research Group/C=US

Using PEM file path 'IdenTrust_root.pem'
Subject:       CN=DST Root CA X3/O=Digital Signature Trust Co.
Issuer:         CN=DST Root CA X3/O=Digital Signature Trust Co.

Using PEM file path 'lets-encrypt-x3-cross-signed.pem'
Subject:       CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US
Issuer:         CN=DST Root CA X3/O=Digital Signature Trust Co.

Using PEM file path 'host.de-crt.pem'
Subject:       CN=host.de
Issuer:         CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US

Using PEM file path 'host.de-chain.pem'
Subject:       CN=host.de
Issuer:         CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US

Subject:       CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US
Issuer:         CN=DST Root CA X3/O=Digital Signature Trust Co.

Using PEM file path 'ca-0C0142490000B4B38A72640585ECF408-crt.pem'
Subject:       CN=Let's Encrypt Authority X3/O=Let's Encrypt/C=US
Issuer:         CN=DST Root CA X3/O=Digital Signature Trust Co.


Vor privaten Key abgesehen baut sich die Kette (umgekehrt) dann so auf:
isrgrootx1.pem - als Root ISRG Root X1
letsencryptauthorityx3.pem - als Intermediate Let's Encrypt Authority X3
host.de-crt.pem - mit meinem Host-Zertifikat host.de

Nach Import und Neustart der HTTP-Task ist FF absolut zufrieden (!), IE und Chrome nicht, weil das Root-Zertifikat nicht akzeptiert wird. Aber immerhin habe ich eine Menge gelernt, "kyrtool verify" ist zufrieden und die Kette ist nun komplett.  Cheesy

Jetzt müsste ich noch wissen, wie man gleichzeitig auch den zweiten Zertifizierungspfad über DST Root CA X3 einbindet.


« Letzte Änderung: 07.08.17 - 16:21:05 von Flachmann » Gespeichert

Gruß,
  __________
  _/_
  /lachmann
Flachmann
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 121



« Antworten #14 am: 07.08.17 - 16:00:08 »

Bsp.: unser allseits geliebtes https://atnotes.de/ nutzt ebenfalls LetsEncypt und funktioniert für FF und IE gleichermaßen, nutzt aber unterschiedliche Root-Zertifikate (s. Anhänge).

Während FF auf "ISRG Root X1" verweist, nutzt IE "DST Root CA X3" (weil im IE das ISRG Root X1 noch nicht akzeptiert wird). Wie bekommt man diese Kombination auch für Domino hin?

Es geht wohl sicher wieder um die Reihenfolge der Dateien...

Denn wir haben im Prinzip jetzt 2 Root-Dateien (isrgrootx1.pem und IdenTrust_root.pem) und 2 Intermediate-Dateien (letsencryptauthorityx3.pem und lets-encrypt-x3-cross-signed.pem), die alle irgendwie auf host.de verweisen.
« Letzte Änderung: 07.08.17 - 16:25:27 von Flachmann » Gespeichert

Gruß,
  __________
  _/_
  /lachmann
Tode
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6036


Geht nicht, gibt's (fast) nicht... *g*


« Antworten #15 am: 07.08.17 - 16:23:43 »

Gute Frage... ich habe bei mir das DST Root CS X3 eingebunden, und sowohl IE als auch Chrome und Firefox akzeptieren dieses Zertifikat...
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
Flachmann
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 121



« Antworten #16 am: 07.08.17 - 16:27:20 »

Das ergibt wohl auch am meisten Sinn, als wenn derzeit nur FF das Zertifikat...

Dennoch müsste doch auch die gemeinsame Nutzung irgendwie möglich sein, halt so wie atnotes.de das auch macht.
« Letzte Änderung: 07.08.17 - 16:39:59 von Flachmann » Gespeichert

Gruß,
  __________
  _/_
  /lachmann
Tode
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6036


Geht nicht, gibt's (fast) nicht... *g*


« Antworten #17 am: 07.08.17 - 16:44:16 »

Atnotes is aber nicht Domino... Du könntest mal probieren mit kyrtool import roots -i .... die beiden verschiedenen Roots und intermediates zu importieren... aber ob der Domino das handlen kann, weiss ich nicht
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
Flachmann
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 121



« Antworten #18 am: 08.08.17 - 16:23:37 »

Danke, Torsten, Du bist mein Hero der Woche!  Smiley

Es klappt perfekt und meine Site läuft jetzt sowohl mit FF als auch mit IE und Chrome, auch mit Mobil, mit unterschiedlichen Root-Zertifikaten. Es wird tatsächlich das jeweils benötigte geliefert bzw. verwendet. Freu! Du hast definitiv ein Bier bei mir gut!  Shocked

Ich bereite noch eine kleine Doku vor und packe die in die "Best Practices", dann kann das jeder nachvollziehen und adaptieren.
« Letzte Änderung: 08.08.17 - 16:25:28 von Flachmann » Gespeichert

Gruß,
  __________
  _/_
  /lachmann
Tode
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 6036


Geht nicht, gibt's (fast) nicht... *g*


« Antworten #19 am: 08.08.17 - 18:08:55 »

Das freut mich, dass das so einfach klappt. Musstest Du dann die "andere" Version des Zwischenzertifikats auch mit importieren?
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
Seiten: [1] 2 Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: