Autor Thema: Immer häufiger signierte Mails mit entsprechender Meldung...  (Gelesen 2565 mal)

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.870
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Bei verschiedenen meiner Kunden kommen jetzt immer häufiger signierte Mails an (u.a. Newsletter), und die resultieren dann immer öfter in einer Meldung im Client, dass man doch bitte das Internetzertifikat gegenzertifizieren solle. Diese Meldung nervt die Benutzer.

Kann man die irgendwie unterdrücken? Oder wie geht Ihr hier vor?

Ich habe jetzt noch nicht recherchiert, sondern stelle die Frage einfach mal hier rein. Sobald ich gegoogelt habe, werde ich natürlich die Ergebnisse hier hinzufügen...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.870
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
OK, habe das mal anhand eines Beispiels näher untersucht. Die Meldung, die kommt, kommt nicht etwa von signierten Mails sondern daher, dass Newsletter von einer HTTPS- Seite z.B. Bilder nachladen. Die Meldung, die dann beim Client kommt, lautet:
Zitat
Das Internetservice-Zertifikat ist nicht vertrauenswürdig. Möchten Sie dies jetzt korrigieren (d. h. das Servicezertifikat abrufen und entscheiden, ob es vertrauenswürdig ist)?
bzw. englisch:
The internet service certificate is not trusted.  Do you want to take corrective action now (i.e. retrieve service certificate and decide whether to trust it)?

Der User muss dann ein Gegenzertifikat in seinem Client erstellen, dann ist für diese Domäne Ruhe.

Diese Gegenzertifikate kann man aber auch auf dem Server zentral erstellen, und per Security- Policy verteilen, wie z.B. dieser Link bei IBM erklärt.

Muss jetzt mit den Admins- Abklären, ob wir das hier tun wollen für die gängigsten TrustedRoots.

Es reicht leider nicht, das TrustedRoot in der Zertifikate- Ansicht des Clients zu haben, man braucht wirklich ein Gegenzertifikat, damit die Meldung nicht mehr kommt.
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline workhorse

  • Frischling
  • *
  • Beiträge: 7
  • Geschlecht: Männlich
  • Nur Ignoranten wissen alles.
Hallo Torsten

Der Thread ist ja nun schon einige Jahre alt. Der IBM Link funktioniert nicht mehr, aber ich nehme an, der hier entspricht in etwa dem selben bei HCL:
https://help.hcltechsw.com/domino/10.0.1/conf_pushingcertificatestoclientsthroughsecuritypolicys_t.html?hl=pushing

Bin grade bei einem Kunden, der noch Notes 9 Clients im Einsatz hat - und natürlich ständig diese dämlichen Cross Certificate Fragen kriegt. Hat jemand schon mal experimentiert, statt einzelne Cross Certificates zu importieren, die aktuellen 'Internet Certifiers' aus einem Client zu nehmen, diese ins Directory zu kopieren und sie dann wieder per Policy in die alten Clients zu verteilen? Damit würde man sich doch eine Menge Cross Certificates ersparen.

Grüsse,
Beat


 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz