SSL Zertifikate

  • Hallo


    Wir hatten bis vor kurzem interm und extern 2 verschiedene SSL-Zertifikaten (2 Seiten auf 2 verschiedenen Servern). Nun haben wir für intern / extern nur noch eine Seite und demzufolge nur noch ein Zertifikat.
    Beim Aufruf der Seite von extern, zeigt er mir immer das alte Zertifikat an, obwohl ich auf der neuen Seite bin.
    Intern funzt alles bestens.


    Bei der Eingabe von > tell http show security auf dem Server, der extern angesprochen wird, zeigt er mir das alte Zertifikat an, beim internen stimmts tiptop!


    Wo kann ich diesen Wert einstellen, so dass er mir auch auf dem Server der extern angesprochen wird das richtige Zertifikat anzeigt??


    Infos habe ich vom Eintrag:
    http://www.dominoforum.de/modu…t_id=34642#forumpost34642


    Danke und Gruss, dave

  • So, nach einem Domino reboot zieht nun auch diese Einstellung und es klappt soweit, dass das richtige Zertifikat "angezogen" wird.


    Nun noch etwas:
    Nach der Eingabe der Adresse https://xyz.ch erscheint die Meldung:


    Digitales Zertifikat auswählen
    Die Webseite, die Sie ansehen möchten, erfordert eine Identifizierung. Wählen Sie ein Zertifiakt aus.


    // Es erscheint ein Fenster mit den Angaben Name, Aussteller. Das witzige ist, dass dort gar kein Zertifikat ausgewählt werden kann?!?!?!?


    Naja, wenn ich dann OK klicke komme ich zur Seite.


    Kennt jemand das Problem mit dem Fenster "Digitales Zertifikat auswählen"???


    Gruss und schönes Weekend, dave

  • Du hast versehentlich (oder absichtlich) in den Optionen für Authentifizierung die Client-Zertifikate gewählt (Serverdokument bzw. Internet-Site Webdokument).


    Damit wird nicht mehr per Name+Kennwort sondern über ein (zuvor im Browser installiertes) Zertifikat die Authentifizierung (oder "Anmeldung") durchgeführt.


    Erstaunlicherweise hast du sogar ein Zertifikat in deinem Browser, das ist nämlich die Auswahl, die er dir anbietet. Also kann das Ganze nicht ganz so "aus Versehen" passiert sein denn sonst wäre die Auswahl Liste leer (ein Browser hat ja keine vorinstallierten Client-Zertifikate und von allein wandern die da nicht rein). Könnte auch sein daß du eine Smartcard angeschlossen hast mit einem Zertifikat, das dein Server anschließend akzeptiert, in dem Falle kommt auch der Dialog in Kombination mit der aktivierten Option auf dem Server.

  • Hallo


    Wo finde ich die Einstellung betr. der Optionen für die Authentifizierung des Client-Zertifikat?


    Es ist kein Zertifikat installiert, die Auswahl-Box die er anbietet ist leer.....es kann kein Zertifikat ausgewählt werden.
    Zudem habe ich vorher...
    - alle SSL-Cookies gelöscht
    - alle Temp. Files gelöscht
    und einfach alle Files die irgendwie mit Cache und IE zu tun haben.


    gruss, dave

  • Zitat


    CarstenH schrieb:
    Du hast versehentlich (oder absichtlich) in den Optionen für Authentifizierung die Client-Zertifikate gewählt (Serverdokument bzw. Internet-Site Webdokument).


    Habe ich doch eigentlich beschrieben, was genau ist dir bei den Begriffen Serverdokument / Internet-Site Webdokument unklar? Hast du dort die Einstellung für die TCP/IP Authentifizierung für Webzugriffe nun schon kontrolliert?

  • Du bist ja wieder freundlich.....;-(


    Im Serverdokument unter Anschlüsse - Internet Anschlüsse - Web habe ich folgendes:


    Optionen für Authentifizierung:
    Client-Zertifikat > NEIN


    oder welche Einstellungen muss ich da kontrollieren?


    gruss

  • Sorry, liegt vielleicht daran daß man die gleiche Frage mehrfach stellen muß bevor einmal die Antwort kommt - das stresst manchmal.


    Ausserdem hast du ebenfalls keine Server-Version in deinem Post erwähnt, was die Antwortmöglichkeiten unnötig verdoppelt und mich daher auch nicht viel freudiger stimmt.


    Zum Thema: Wenns nicht im Serverdokument steht dann kann es alternativ in einem Dokument für virtuelle Hosts/virtuelle Server stehen (alte R5 Konfiguration), wäre zu finden im Domino Directory unter Konfigurationen->Web->Web-Konfigurationen (ab ND6) bzw. Server->Web-Konfigurationen (R5).


    Ists ein 6er Server kann es auch in den Internet-Site-Konfigurationen stehen Konfigurationen->Web->Internet-Sites (eigentlich müßtests du selbst es am besten wissen, wenn du selbst den Server mal aufgesetzt hattest). Ob Internet-Site-Dokumente benutzt wurden kannst du im Serverdokument sehen unter Allgemein->Internet-Konfigurationen aus Server-\Internet-Site-Dokumenten laden: Aktiviert (sonst: Deaktiviert).


    Vielleicht setzt ihr ja auch IIS oder einen alternativen HTTP-Server-Stack ein? Dann ists wiederum dort konfiguriert.


    Fakt ist lediglich eins: du hast Internet-Authentifizierung zwingend voreingestellt, wenns nicht nur bei deinem Browser passiert (weil du es dort evtl. eingestellt hast?) dann an einer der erwähnten Stellen.

  • Kein Problem.


    Sorry, habe ich total vergessen.
    Wir haben Release 6.5.4FP1 im Einsatz.


    Ich glaube ich habs:
    Im Konfigurations-Dokument->Web->Web-Konfigurationen habe ich ein Dok drin, dort steht:


    Optionen für TCP/IP-Authentifizierung:
    Name und Kennwort > Ja
    Anonym > Ja


    Optionen für SSL-Authentifizierung:
    Client-Zertifikat:
    Name und Kennwort > Ja
    Anonym > Ja


    Um die Meldung nciht mehr zu erhalten, muss ich dieses auschalten?
    > Auswirkungen?



    gruss, dave

  • Ok, ihr nutzt also mit einem 6er Server die alte R5 Webkonfiguration. Ich würde empfehlen ihr stellt demnächst auf Internet-Konfiguration mit den entsprechenden 6er Pendants um.


    Abgesehen davon fehlt in deiner Auflistung genau an der interessanten Stelle der Parameter:


    Optionen für SSL-Authentifizierung:
    Client-Zertifikat:


    Steht da nun ein JA oder ein NEIN? Hier muß NEIN stehen. Sollte das schon da stehen (was mich dann wundert) muß es noch ein weiteres Konfigurationsdokument dazu geben. Einzig und allein dieser Parameter entscheidet über die Clientzertifikate.


    Und: Ja, man muss es ausschalten wenn man keine Authentifizierung mit Clientzertifikaten wünscht. Weitere Nebenwirkungen (außer der fehlenden Anmeldung per Clientzertifikat) gibt es keine.

  • Ja das stimmt, wenn ich in dem DOkumnt bin heisst der Titel "R5 Virtueller Host".


    Der interessante Parameter steht ben nicht direkt drin, d.h wenn ich das Dokument zum lesen öffne heisst es dort "Wie übergeordneter Server", zum bearbeiten steht da einfach nichts...auch kein Feld zum bearbeiten!


    Da wir im Server Konfigurationsdok die Option "Internet-Konfigurationen aus Server-\Internet-Site-Dokumenten laden:" Deaktiviert haben, nehme ich an, dass die Einstellungen von den Konfigurationen \ Web \ Internet-Sites übernommen werden.


    Stimmt diese Annahme?


    Und dort steht:
    SSL-Authentifizierung
    Client-Zertifikat: NEIN


    Ich denke, zuerst werde ich mal die Web-Dokuemnte nach R6 like ummodeln.


    Danke und Gruss, dave