SSL ohne CA möglich?

    Guten Abend....


    Ich habe mal eine Frage in Richtung SSL und Domino...
    Normalerweise kenne ich das so, das ich eine CA brauche um SSL nutzen zu können...


    Ich frage mich aber, ob es nicht möglich ist SSL ohne eine CA auf Domino zu aktivieren...


    Ich habe nämlich auf Basis eines W2K3 eine Zertifizierungsstelle innerhalb meines AD... Und da könnte ich mir SSL Zertifikate ausstellen. Da wäre doch die Frage, ob ich diese nicht nutzen kann, statt eine CA einzurichten...


    Danke euch schon mal jetzt...


    Viele Grüße
    Tom

    Zertifizierungsstelle = CA


    Deine Frage zielt eher darauf ob du eine Domino CA brauchst.
    Das brauchst du nicht.


    Du musst nur das Zertifikat im Domino erstellen und kannst es dann von jeder beliebigen zertifizierungsstelle unterzeichnen lassen

    Aber umm das alles zu schaffen muss ich doch an erster Stelle erst mal ein Keyring File erzeugen...


    Ich bin mir jetzt nicht ganz sicher, wie das genau geht...


    Aber ich glaube, man erstellt ein keyring File und aus dessen Code dann das Server Zertifikat...


    Aber das kann auch nur Murks sein, was ich jetzt hier schreibe.
    Ich weiß es nämlich nicht, weil noch nie gemacht.


    Ich will das erst mal in einer Testumgebung prüfen...
    Wie das überhaupt läuft...


    Grüße
    Tom

    Juhu...
    Hat heute erfolgreich geklappt...


    Vorgegangen bin ich dabei wie folgt:


    Im Notes Client eine Database Server Request Admin erstellt...
    Dann das keyring File generiert.


    Das erhaltene Zertifikat aus Schritt 2 Bas64 Code an den Windows Zertifizierungsdienst geschickt.
    Dieses dann ausgestellt, runtergeladen und den Zertifikat Code ins Keyringfile (Scritt 4) eingefügt.


    Schritt 3 Trusted Root war nicht nötig, weil so wie ich das verstanden habe, das Zertifikat bereits ausgestellt wurde.


    Dann das Keyring File und das andere Server Zertifikat File ins Notesdata aufm Server gepackt...


    HTTP Task beendet, Port 443 dazu geschaltet, HTTP wieder rauf und siehe da, klappt.


    Bei nicht internen Rechnern motzt er jetzt eine nicht vertrauenswürdige Zertifizierungsstelle an, aber damit kann ich leben.


    Ich hatte zwar überlegt, jenachdem das Stammzertifikat des Zertifizierungsservers zur Verfügung zu stellen aber ich muss erst mal gucken, wie das ganze überhaupt genutzt werden soll und welche Risiken sich aus dem bereitstellen des Root Zertifikats ergeben. Und dann steht ja auch noch zur Debatte, welcher User importiert dieses Zertifikat.
    Wer blos hin und wieder mal guckt, wird das lassen.


    Mal schauen...


    Viele Grüße
    Tom

    Hallo,


    ich habe jetzt auch alles so gemacht wie oben beschrieben, bekommen aber beim start des severs folgende meldung:

    Zitat

    HTTP Server: SSL Error: Keyring File access error, key ring file [keyfile.kyr], [Default Server]


    kann mir jemand weiterhelfen?


    danke,
    roesing

    Na wie die Meldung schon aussagt findet er die Datei nicht dort wo du eingestellt hast, daß sie sein sollte. Also trag entweder die korrekte Datei in der Konfiguration ein oder benenn die Keyring-Datei entsprechend um