Frage bezgl. Cross Certificate

    Guten Morgen,


    da ich noch recht neu bin im Bereich Domino, habe ich mal eine Frage bzgl. des Cross Certify...


    Konkret geht es darum, zwei Dominoserver unterschiedlicher Domänen sichtbar und kontaktierbar zu machen.
    So das ein Replicate vom einen auf den anderen möglich wird.


    Also ich habe schon etwas darüber gelesen, würde mich aber dennoch gerne etwas absichern.


    Also ich habe jetzt auf beiden Dominoservern jeweils ein Connection Document erzeugt.
    Das alleine reicht ja noch nicht. Soweit ich das verstanden habe, müssen die ihre IDs oder ihre Zertifikate untereinander tauschen.


    Jetzt hatte ich mir überlegt, im Bereich Configuration den Punkt Certificates und Notes Certifiers...
    Hier findet man dann, wenn ich soweit richtig liege, das jeweilige Server Zertifikat, mit den Keys usw.


    Würde es nicht reichen, die untereinander zu tauschen, quasi per Copy&Paste?


    Danke


    Grüße
    Tom

    :D Ohh... Naja.


    Das Problem ist ganz einfach, das der eine Dominoserver auf den anderen replizieren muss...


    Und dadurch, das es zwei unterschiedliche Domänen sind, klappt das nicht so einfach...
    Mir fehlt hier quasi die Vertrauensstellung.

    Zitat


    Hier findet man dann, wenn ich soweit richtig liege, das jeweilige Server Zertifikat, mit den Keys usw.


    Würde es nicht reichen, die untereinander zu tauschen, quasi per Copy&Paste?


    Nein, würde es nicht. Der Witz an einer Gegenzertifizierung ist ja die -wie du richtig schreibst- Vertrauensstellung. Soll heißen: ein Zertifikat wird mit Hilfe eines anderen beglaubigt. Wenn ich dir ein Stück Papier in die Hand drücke mit meinem Namen drauf und behaupte, dass ich derjenige sei, glaubst du mir das auch nicht (solltest du jedenfalls nicht). Wenn ein Dritter, dem du vertraust, bestätigt, dass es sowohl mein Name ist, wie auch ich derjenige bin, für den ich mich ausgebe, erst dann kannst du sicher sein, dass es auch stimmt.


    Die Schlüssel der jeweiligen Server austauschen musst du nur, wenn du den Schlüsselabgleich eingestellt hast.



    Zitat


    Und dadurch, das es zwei unterschiedliche Domänen sind, klappt das nicht so einfach...
    Mir fehlt hier quasi die Vertrauensstellung.


    Und ach ja: wir wollen doch bitte nicht Domänen und Certifier durcheinander werfen!

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Hi,


    also ich will es nicht geschenkt haben, von wegen Vor sagen, so und so... Und dann klappts. Das war noch nie meine Art.
    Ich will das schon selber hinkriegen.


    Was mir schon reichen würde, wäre das richtige Stichwort.
    Die Adminhelp würde da sicher ihren Teil zu beitragen.


    Ich habe das bisher nur im MS AD Netz gemacht.
    Die Grundidee wird hier sicher die selbe sein.


    Also heißt es dann hier nicht Cross Certify sondern Domain Certify... Oder auch nur Domain Trust, Domino Trust?


    Grüße
    Tom

    Noch mal hallo,


    also, ich hoffe jetzt hab ich es...
    Lesen bildet...


    Ich muss also unter Configuration jeweils die Server.ID des anderen Servers cross Zertifizieren...


    Das sollte also hinhauen.
    Würde ich also so vorgehen, das ich auf Server A die ID von Server B mit dem Certifier von Server A Zertifiziere... Hinterher dann in umgekehrter Reihenfolge.... Ist das so korrekt?


    Wo wird das aber dann später hinterlegt?
    Also angenommen, man will dann plötzlich doch diese Zertifizierung nicht mehr. Kann man das rückgängig machen?


    Wird da ein Dokument oder sowas drüber angelegt?

    Hallo, danke für die Antwort.


    Ich habe das jetzt mal so gemacht...
    Habe auf dem Server A die ID des Server B mit dem Certifier von Server A verifiziert.


    Das ganze auch andersrum, auf dem Server B.


    Jetzt wird auch unter Notes Cross Certifies im Domino Directory jeweils ein entsprechender Eintrag angezeigt.


    Dennoch erhalte ich eine Fehlermeldung:


    05/22/2009 11:52:34 AM Failed to authenticate with server ServerA/COMPANY: The certificate table does not contain enough valid certificates to verify the public key of its owner.


    Warum hat die Zertifizierungstabelle nicht genügend Infos?


    Ich habe bei dem Certify jeweils nur den Server ausgewählt...
    Im Cross Certify Dialog konnte man wählen zwischen:


    ServerA/COMPANY
    /COMPANY


    Ich hab an dieser Stelle den Server A nur ausgewählt.
    Auf der Gegenseite eben den Server B...


    Was fehlt mir denn da noch?


    Edit:


    Diese Meldung sehe ich, wenn ich auf der Console des Server B replicate ServerA test_repdb.nsf angebe...

    Hallo noch mal...


    Juhu, hat jetzt geklappt...
    Der Fehler lag wohl darin, das die Organisationen den gleichen Namen hatten...


    Die Domänen hießen zwar anders, aber die Organisationsnamen waren gleich und das hat wohl diesen Fehler verursacht.


    Denn als ich das jetzt probiert habe mit einem Domino, wo alles anders ist und heißt, klappt das sofort prima.


    Allerdings eine Sache verstehe ich nicht.


    Ich habe jetzt eine DB auf einen anderen Server repliziert.
    Habe danach alle Berechtigungen gelöscht und unter Certificates alle Cross Zertifikate gelöscht.


    Wenn ich aber probiere diese DB wieder zu replizieren, dann macht er das.
    Aber im Grunde darf er das doch gar nicht mehr???
    Warum klappt das noch? Jemand eine Idee

    Wenn ich allerdings probiere, direkt auf den Server zu connecten, sprich File -> Open Server erhalte ich die Meldung, das mein Addressbook keine Cross Zertifizierung besitzt. Ich kann dann klicken Cross Certificate oder ignorieren. Dann kommte die Meldung: nicht berechtigt.


    Jetzt hab ich aber hier eine DB, da hab aus dieser DB raus den Replikationsprozess angestoßen.
    Das hat ja auch alles geklappt.


    Jetzt sehe ich gerade, das es nicht erfolgreich ist, nach dem Löschen der Server Cross Zertifikate, weil auch hier die Meldung auf der Console erscheint, das mein Addressbook kein Cross Zertifikat besitzt...


    Auch wenn das nur zum testen ist, aber ich finde das alles sehr komisch, zumindest dieses Verhalten.
    Kenne ich aus der Microsoft Richtung gar nicht.


    Ich habe den Button Cross Certificate noch nicht probiert, aber wenn das klappen würde, wäre ja im Grunde problematisch oder?

    Wieso sollte das problematisch sein ?


    Ein Crosscertificate kann nur ein entsprechend berechtigter User anlegen. Bei allen anderen wird die Aktion fehlschlagen.


    Und weiter greifen dann ja auch noch die Zugriffsrechte auf Server, Datenbank und Dokumentebene.
    Sind die korrekt eingestellt bringt nicht mal ein Crosscertificate den Zugriff.


    Bei Domino ist die Sicherheit eben sehr differenziert einstellbar und nicht nur geht oder geht nicht wie bei Microsoft