SSL auf einem CA-Server

    Guten Tag an alle,


    ich hoffe ihr seid alle gut ins neue Jahr reingerutscht, in jedem Fall wünsche ich euch allen freues Neues.
    Ich habe folgendes/e Problem/Frage. Habe mir einen 7er Spielserver eingerichtet Ihn als CA-Server konfiguriert. Dafür habe ich die cert.id migriert.
    Jetzt will ich vie SSL auf den Server zugreiffen und an der Stelle scheitert es. Wenn ich eine keyring.kyr erstelle klappt es gar nicht es kommt eine Fehlermeldung "keyring file format error" ,erstelle ich eine selbstsignierte datei funktioniert es bis zum nächsten http task reboot. Danach kommt wieder dieselbe Meldung. :cry:
    Eine grundsätzliche Frage: irgendwie muss ich doch mein CA-Process oder cert.id in die ganze Sache einbeziehen oder? Ich meine mein Certifizierer ist doch meine Organisation.

    Tag an alle,


    seit einer Woche bin ich wieder am Thema dran und das ist zum heulen. Ich habe die IBM Anleitung runtergeladen und buchstabentreu verfolgt. Jetzt sieht die Situation wie folgt aus:
    Nach dem ich die keyring.kyr un .sth Dateien in das Server Data Verzeichnis reinkopiert und den SSl Port im Server-Doc aktiviert habe, funktioniert die SSL perfekt. Kann man wirklich nichts sagen. Ich kann sogar den HTTP Task restarten :) (was früher nicht der Fall war). Jetzt kommt's: wenn ich den Server neu starte dann geht's nicht mehr. Die Fehlermeldung sieht dann so aus.
    HTTP Server: SSl Error: Keyring file format error, key ring file [keyring.kyr], [Default Server].
    Die https://... Seiten gehen dann natürlich auch nicht. :( Zu der Fehlermeldung habe ich überhaupt nichts gefunden, weder bei IBM noch woanders.
    Nach dem intensiven Ausprobieren habe ich folgendes rausgefunden. Wenn ich die dateien aus dem Domino-Verzeichnis rauskopiere und den Server neue starte kommt die Fehlermeldung keyring not found, ist klar. Ich füge dann dieselben Dateien im laufendem Betrieb wieder in Verzeichnis rein, tell http restart und SSL geht wieder. Ich habe schon den Server mehrmals aufgesetzt und runtergeschmießen, mit demselben Ergebnis. Deswegen glaube ich, dass ich was falsch mache oder es geht bei ND 7 ganz anders (SSL-Einrichtung).Wie gesagt zum Heulen. Es wäre nett wenn mir jemand ein Tipp geben konnte.


    Danke im Voraus

    Hi Critter!


    Habe das gleiche Problem ;)
    Hatte bis vorhin gerade eben einen Rechner mit Win2000 und Domino 7.0 laufen und den Rechner jetzt gegen einen anderen WinXP ausgetauscht.
    Nach der WinXP installation ganz normal Domino installiert und anschließend das Domino-Verzeichnis vom alten Rechner herüber kopiert. Im Grunde funktioniert alles, bis eben SSL. Hab auch die Meldung


    HTTP Server: SSL Error: Keyring file format error, key ring file [keyring.kyr], [Default Server].


    beim Start des Domino-Server. Am alten Server hat SSL immer wunderbar funktioniert.


    Bist du schon auf eine Lösung drauf gekommen?


    Ciao,
    ARMIX

    Hi nochmal,


    ich hab nun auch ein neues Keyfile angelegt und den Server anschließend gestartet. Ging wieder alles wunderbar. Aber nur einen Start lang. Beim nächsten Start geht wieder nichts mehr - Meldung wie vorhin...


    Ciao,
    ARMIX

    Hi,


    ich weiß, daß Dir das hier wahrscheinlich nicht sonderlich weiter hilft.


    In einer Testumgebung unter WinXP und Domino 6.5.3 (???) hatte ich genau den selben Effekt. Beim Hochfahren des Servers laß der Domino die Key-Dateien ein und hat Sie dabei zerstört. Für den ersten Start des Webservers hats dann aber immer noch gerade so gereicht :-).
    Das Keyfile hatte ich übrigens für alle Dienste aktiviert, also auch für Mail und LDAP - vielleicht spielt das noch eine Rolle.


    Ich habe es damals auf XP geschoben und mein Testsystem unter Win2000 mit Domino 6.5.4 neu aufgesetzt - danach lief es wieder problemlos (Keyfile diesmal nur für http). Sollte IBM einen alten Bug wieder ausgegraben haben???


    Unser Domino 7 unter Linux hat übrigens keine Probleme mit SSL.


    Versuch doch auch mal eine Suche bei IBM

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.

    Hi,


    also bei mir heißts "format error".
    Bei IBM's Suche findet man damit aber leider keinen Fehler.


    Hab jetzt die erwähnte Option in der Notes.ini gesetzt. Dann wird mir folgendes angezeigt:


    13.03.2006 17:54:01,07 [0A78:0002-0654] ReadKeyfile> Recovering password from stash file
    13.03.2006 17:54:01,12 [0A78:0002-0654] ReadKeyfile> Password is **********
    13.03.2006 17:54:01,12 [0A78:0002-0654] ReadKeyfile> Reading keyfile C:\Lotus\Domino\data\selfcert.kyr
    13.03.2006 17:54:01,12 [0A78:0002-0654] ReadKeyfile> Read failed with status 2
    13.03.2006 17:54:01,12 [0A78:0002-0654] ReadKeyfile> Exit status = 1028


    ...hilft mir aber auch nicht viel weiter - euch schon?


    Ciao,
    Armin

    Problem gelöst!


    Ich bin dann doch noch in einem Forum von IBM fündig geworden:


    *** This is a problem with Notes and Windows XP. Each time Notes starts it edits the permissions on the keyring file and removes access for itself. ***


    Es wird empfohlen die Rechte für den Keyring vor jedem Start manuell anzupassen (was ja recht aufwändig ist) oder das über ein Script mit dem Windows-Befehl "cacls" zu lösen. Das ist aber auch keine schöne Variante, da man bei diesem Script jede Änderung mit "Ja" bestätigen muss. Eine Option /yes oder ähnliches scheint es nicht zu geben.


    Ich habe mir deshalb folgendes Script gebaut, das die Dateien (samt Berechtigung) aus einer anderen "Vorlage-Datei" übernimmt.


    @echo off
    set DOMDIR=C:\Lotus\Domino
    cls
    echo Berechtigungen fuer Keyring-File setzen...
    xcopy %DOMDIR%\data\selfcert.default.kyr %DOMDIR%\data\selfcert.kyr /o /y
    xcopy %DOMDIR%\data\selfcert.default.sth %DOMDIR%\data\selfcert.sth /o /y
    echo.
    echo Domino-Server starten...
    %DOMDIR%\nserver.exe


    ...klappt soweit ganz gut.


    Vielleicht lässt sich so ja auch Critters Problem lösen?


    Ciao,
    Armin

    Erstmals vielen Dank an Alle,


    Jetzt die große Erlösung :strike: , das ist Eindeutig das von ARMIX beschriebene Problem. Windows XP bringt es mit sich. Ich habe jetzt alles runtergeschmießen (darum heißt es ja auch Testsystem :-)) und das ganze noch Mal auf Win2003 aufgesetzt und jetzt funktioniert das ganze auch tadellos. Ist das vielleicht ein M..t!
    Das ganze ich echt traurig. Wobei ich echt sagen muss, dass das hier bis dato wirklich das Einzige ist (was ich gefunden habe), was bei Domino auf XP anders bzw. gar nicht funktioniert als bei Domino Win2K3.
    (Auf Win 2KServer habe ich's jetzt auch getestet, funktioniert auch).