Internet Zertifikat

    Hallo Leute,


    ich würde gerne eine *.crl Datei ins Notes 6.5.4 einspielen. Wenn ich aber Versuche über Datei -> Sicherheit .... und dann auf Ihre Identität und dann auf Ihre Zertifikate gehen und versuche diese Zertifikat einzuspielen funtkioniert dies nicht. Notes kann anscheinend keine *.crl Dateien importieren. Wie kann ich dieses Problem lösen?

    So, wie ich das aus dem Import-Dialog heraus entnehme, hast du Recht. Importiert werden können nur:
    PKCS12 Files (*.p12, *.pfx)
    PKCS7 Files (*.p7b, *.p7c)
    Binary and Base64 Files (*.cer, *.der)

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Hi,


    also heißt das ich kann kein Zertifikat Importieren. Ich habe aber auch eine *.der Datei, die kann ich Importieren, bekommen aber diese Fehlermeldung: Eine Zertifikatskette konnte nicht erstellt werden.
    Was kann ich hier tun?

    Ich bin schon ein wenig erstaunt was du da eigentlich importieren willst und wozu.


    Domino vertraut von Hause aus erstmal niemandem - es sei denn es handelt sich um die eigene Vertrauensstelle (*/Organisation) oder werden zusätzliche Vertrauensstellen (Zertifikate) eingerichtet und gegenzertifiziert oder aber Gegenzertifikate erstellt, die fremden Vertrauensstellen ebenfalls das Vertrauen aussprechen.


    Gegenzertifikate sind auch zwischen verschiedenen Zertifikats-Systemen notwendig, d.h. Notes- und Internetzertifikate (der gleichen Organisation) benötigen ebenfalls Gegenzertifikate untereinander damit sie funktionieren.


    Eine CRL ist alles andere als ein Zertifikat. Bei einer CRL (Certificate Revocation List) handelt es sich um eine Liste von zurückgezogenen Zertifikaten. Diese kommt nur dann zum Einsatz wenn zuvor einer übergeordneten Vertrauenstelle das Vertrauen auch ausgesprochen wurde. Beispiel: */MeineFirma vertraut allen Zertifikaten von */IBM (via Gegenzertifikat) ausser ExUser/IBM, ExUser2/IBM (via CRL). Für die Benutzung von CRL's ist der seit ND6 verfügbare CA Prozeß obligatorisch.


    Eine User.ID ist einer einzelnen Person zugeordnet und kann alle Zertifikate dieser Person aufnehmen. Sie kann sinnvollerweise natürlich keine CRL aufnehmen - wozu auch, wie oben erwähnt vertraut ein User mit seiner ID erstmal niemandem ausserhalb seiner eigenen Zertifikats-Kette. In eine ID können nur eigene Zertifikate und Schlüssel aufgenommen werden. Diese beinhalten ggf. Hash-Werte der übergeordneten Zertifikate zur Schlüsselkontrolle. Gegenzertifikate und Fremdzertifikatsschlüssel werden nicht in der ID gespeichert, siehe nächster Absatz.


    Um zertifikatsübergreifend Vertrauen auszusprechen und das nicht in jede ID einzeln aufnehmen zu müssen sowie das ganze pflegbar und kontrollierbar zu machen werden Gegenzertifikate und alles was damit zu tun hat in Directories abgelegt. Primär passiert das im Domänen-Verzeichnis (default names.nsf), da aber Clients auch unabhängig arbeiten [können] führt jeder Client ein eigenes Verzeichnis (default ebenfalls names.nsf) das unabhängig vom Verzeichnis der Domäne arbeitet.


    Unabhängig vom Speicherort kommt noch ein anderes Problem hinzu - die Form, Stärke und Herkunft des Zertifikats. Man kann nicht beliebige Schlüssellängen miteinander mischen. Die jeweilige Software muß mit den verwendeten Schlüssellängen und Algorhytmen ebenfalls klarkommen. Dazu muß man die Dokumentationen der beiden Produkte etwas durchforsten bevor man irgendwelche Zertifikate importieren oder exportieren möchte und wählt einen Mechanismus den beide Seiten beherrschen.


    Wenn all dies hinreichend beachtet wird dann klappts auch. Viele machen es sich halt nur etwas einfach und erstellen mit Software A irgendwelche Schlüssel und hoffen Software B wird damit schon irgendwie klarkommen. Und genau das Irgendwie ist das Problem - man muß schon ziemlich genau wissen was man da gerade tut bevor es (eben nicht nur irgendwie sondern genau so wie es geplant ist) funktioniert.

    Hi CarstenH,



    danke für deinen sehr informativen Beitrag!
    Das Problem was ich habe ist das die Deutsche Bank Verschlüsselte Mails schicken möchte. Was muss ich den bei Notes genau tun, damit ich das Zertifikat von denen einspielen kann?

    Das sind zwei Seiten die eine Rolle spielen. Wenn ein DeuBa Mitarbeiter einem externen Partner eine verschlüsselte Internet-Mail senden will, dann braucht er dessen Public-Key. Den erhält er ganz einfach, in dem er von seinem Kommunikationspartner eine signierte Mail erhält und das Zertifikat akzeptiert. Dadurch wird der Public-Key des Absenders im persönlichen Adressbuch des DeuBa Mitarbeiters hinterlegt. Selbstverständliches sollte dies ein "ordentliches Zertifikat" sein, d.h. X.509 Standard und auf eine anerkannte Zulassungsstelle, z.B. Verisign, zurückzuführen sein.


    Genau das umgekehrte gilt natürlich, wenn ein Geschäftspartner der DeuBa an die DeuBa verschlüsselt senden will. Man kann getrost davon ausgehen, dass ein Bankmitarbeiter ein autorisiertes X.509 Zertifikat über einen entsprechend Antrag erhalten kann.


    Jedenfalls ist das ein sehr komplexes Thema, wo bei der Ausführung natürlich auch nur mit Wasser gekocht wird, bei dem aber Try-and-Error total nicht angesagt ist.