Wie kann ich die CRL meiner Internet CA veröffentlichen

    Hallo zusammen,


    ich zweifel ja schon, ob ich eine Chance hab überhaupt eine Antwort zu diesem Thema zu bekommen, aber ich versuch es doch einfach mal:


    Ich habe eine Internet CA für S/Mime X509 Zertifikate eingerichtet, die auf dem Administrations Server läuft und auch schön Zertifikate ausstellt. Jetzt würde ich gerne die CRL (Certificate Revocation List) auf dem Webserver (auch ein Domino 6.5 Server) zum Download anbieten. Leider weiß ich aber nicht wie....
    In der Konfiguration der CA kann ich einen LDAP Server und eine URL zum "Publishen" angeben. LDAP erscheint mir nicht praktikabel (von extern), also hätte ich gerne das Ding mit der URL. Ich weiß nur nicht wie....


    HIIILLLLFFFFEEEEE


    Danke für jeden Tip


    Norbert

    Wir verwenden die Internet Zertifikate der Benutzer um SSL Zugriffe auf diverse Web- und andere Server abzusichern. Hierbei wird das Zertifikat als Authentifizierung verwendet.
    Damit nun ein Server den Zugang sperrt, wenn ein User mit einem "revokten" äh zurückgezogenen Zertifikat versucht sich anzumelden, muß die CRL dem SSL-Server bekannt sein.
    Außerdem sollen externe Mailpartner sich ebenfalls die CRL laden können um zu checken, ob der MA, der Ihnen eine Mail sendet noch in der Firma beschäftigt ist.


    Ich habe mir das alles auch nicht ausgedacht, doch durch eine Fusion bin ich jetzt gezwungen das alles unter Notes umzusetzen.....


    Norbert

    Hm, das leuchtet durchaus ein, auch wenns umständlich erscheint....


    Die CRL wird doch in einer DB gespeichert (Dateiname weiss ich gerade nicht...), ggf.kann die mit Anonymous und LEserechten veröffentlicht werden ?


    Nur so ne IDee, komplett ohne HIntergrundrecherche....

    Hallo,


    1. die CRL wird in der ICL gespeichert, ausserdem noch im Directory.
    2. Migriert man einen Notes Certifier oder erstellt man einen Internet Certifier, so wird autom. eine ICL erstellt.
    3. User denen man diesen Certifier zur Verfügung stellt werden in der ICL gespeichert, ebenso, wann das Certificate abläuft ( CRL ).
    4. Man kann sich unter, Configuration > Certificates > Certreq > ICL - Certifier > All documents,
    die User und deren Ablaufdaten anschauen.
    Die breite öffentlichkeit kann das nicht.


    Marcel

    Hey super, der Thread geht doch weiter.... :)


    das vorhandensein der CRL in einer Virtuelllen Welt reicht leider nicht.
    Meine ausgestellten Zertifikate enthalten einen Eintrag, der sagt, daß die CRL auf einem bestimmten Server per LDAP und per HTTP abzurufen ist.
    Leider haben die Lotus Entwickler vergessen den Part mit dem HTTP auch zu implementieren. Der LDAP Part scheint auch nicht out-of-the -box zu funktionieren, da die CRL nicht in der standard Einstellung zur Verfügung gestellt wird.
    Da wir die Zertifikate zur Mailsignierung verwenden, müssen die Mailempfänger in der Lage sein, zu checken, ob das Zertifikat nicht revoked ist.
    Das geht leider zu Zeit nicht. Dummerweise führt das dazu, daß der Mailempfänger ein quasi abgestürzten Mailclient (z.B. Outlook) hat, da dieser krampfhaft versucht das Zertifikat zu verifizieren (Timeout 1-2 Minuten).... :(


    Habt Ihr schon mal das "publishen" der CRL hingekriegt???


    Norbert

    Hallo !


    wir haben das so gemacht:


    OS = Linux RH 9
    Mit PHP >> CRL (*.pem) >> txt >>Domino/HTML >> Java getURL >> txt >> NotesDatabase >> @DBLookup Serial Number



    Also : CRL ist im Database, dann geht einfach.

    IBM Certified Advanced Application Developer - Lotus Notes and Domino 6/6.5...............