Lotus Notes: Problem beim Importieren des Symantec / Verisign-Zertifikats

0

Zum Signieren / Verschlüsseln von E-Mails habe ich Verisign S-Mime Certificate von Verisign installiert und aus dem IE als .pfx (PKCS # 12) exportiert.

Mein Problem ist, als ich versuchte, es in zu importieren Sicherheit & gt; Meine Identität & gt; Ihre Zertifizierung & gt; Zertifikat importieren Ich habe diesen Fehler bekommen:

Die Signatur auf dem Server ist ungültig, Details finden Sie im Protokoll

Ich habe im Internet gesehen, dass ich sicher sein muss, dass das Root-Zertifikat VeriSign_Class_1_Public_Primary_Certification_Authority _G3 und Zwischenzertifikat Symantec Class 1 Individual Subscriber - G5 installiert sind.

In meinem Fall, wenn ich im IE einchecke, finde ich alle Zertifikate, aber in Lotus Notes Fichier & gt; Sicherheit & gt; Identität des Anderen & gt; Zertifizierung & gt; Internet Alle Ich sehe das Root-Verisign, finde aber kein Zwischenzertifikat (Symantec ...).

Wie kann ich dieses Zwischenzertifikat importieren und hat jemand eine Idee, ob dies wirklich die Ursache des Problems ist?

Ich benutze Lotus Notes 8.5

lotus-notes  digital-signature  smime 
Mah54
quelle
Dies ist kein Sicherheitsproblem, sondern ein Lotus Notes-Konfigurationsproblem. Wenden Sie sich an den Lotus Notes-Support oder die entsprechenden Anleitungen, um Hilfe zu erhalten.
schroeder

Antworten:

0

Der Grund für den Fehler ist, dass zum Importieren eines Zertifikats in Ihre ID die gesamte Zertifikatskette als vertrauenswürdig eingestuft werden muss. Standardmäßig befinden sich einige der neueren Zwischenzertifikate weder im Domino-Verzeichnis noch in Ihrem persönlichen Adressbuch noch in Ihrer ID-Datei.

Wenn Sie dies nur für sich selbst benötigen, verwenden Sie den Dialog, den Sie bereits gefunden haben, um das Stammverzeichnis und alle Zwischenprodukte in Ihre ID-Datei zu importieren Your Certificates - Get Certificates - Import Internet Certificates Klicken Sie auf die Schaltfläche und fügen Sie sie Ihrer ID hinzu (von oben nach unten, root - & gt; intermediär - & gt; persönlich).

Wenn Sie dies für mehr als einen Benutzer benötigen, fügen Sie das Zwischenzertifikat direkt dem Domino-Verzeichnis hinzu. Dann wird es automatisch für jeden Benutzer verwendet. Öffnen Sie dazu die Datei names.nsf auf Ihrem Server unter Security\Certificates ansehen und anklicken Actions - Import Internet Certificates. Wählen Sie dann die Zertifikate aus und importieren Sie sie.

Damit Zertifikate funktionieren, ist es SEHR wichtig:

  • Importieren Sie sie in der richtigen Reihenfolge
  • Vergesst keine Zwischenstufe
  • Stellen Sie sicher, dass Sie die Kette COMPLETE und CORRECT haben

Ich werde ein Beispiel geben (es ist für Server-Zertifikate, aber das gleiche gilt für MIME-Zertifikate):

Wenn Sie ein Thawte 123 Server-Zertifikat besitzen, benötigen Sie ZUERST den Thawte Premium Server: 

    Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
    Subject: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com

Diese Informationen können mit dem kostenlosen openssl-Tool mit dem Befehl extrahiert werden openssl x509 -in filenamewithcert.pem -text

Sie sehen: In diesem Zertifikat sind Aussteller und Betreff identisch: Dies ist der selbstsignierte Stamm.

Dann brauchst du die thawte Primary Root: 

    Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server  CA/emailAddress=premium-server@thawte.com
    Subject: C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - For authorized use only, CN=thawte Primary Root CA

Sie sehen: Der ISSUER ist das erste importierte Zertifikat. Dies ist wichtig, dass sie übereinstimmen.

Und die letzte - vor Ihrem eigenen Server-Zertifikat - ist die Thawte DV SSL CA: 

    Issuer: C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - For authorized use only, CN=thawte Primary Root CA
    Subject: C=US, O=Thawte, Inc., OU=Domain Validated SSL, CN=Thawte DV SSL CA

Das selbst ist von der Primärwurzel signiert.

Sehr oft machen es die Unterzeichner Ihrer Zertifikate nicht leicht, herauszufinden, welche Zertifikate zum Signieren verwendet werden. Verwenden Sie openssl, um die richtige Reihenfolge zu ermitteln und umzukehren. Wenn Sie alles in DIESER Reihenfolge importieren und keine Zwischenprodukte auslassen, wird es funktionieren.

Torsten Link
quelle
@Tortsten: Danke für deine Antwort. Eigentlich habe ich kein Problem, das Root-Zertifikat hinzuzufügen, es befindet sich bereits in meinem Domino-Verzeichnis und ich kann es auch über hinzufügen Sicherheit & gt; Meine Identität & gt; Zertifikate abrufen & gt; Importieren Sie Internet-Zertifikate Das Problem ist, wenn ich versuche, dasselbe mit dem zu tun Zwischenzertifikat Ich habe den gleichen Fehler: & gt; Die Signatur auf dem Server ist ungültig, Details finden Sie im Protokoll
Mah54
Ich folge dir, um das Zwischenprodukt hinzuzufügen Aktionen - Internet-Zertifikate importieren im Name.nsf und es ist okay, den Import aller Zertifikate (Root + Intermediate + Personal) es gelingt aber in Sicherheit & gt; Meine Identität & gt; Zertifikate abrufen & gt; Internet-Zertifikate Ich sehe mein persönliches Zertifikat immer noch nicht und wenn ich versuche, eine zertifizierte E-Mail an eine externe Adresse (Gmail / Yahoo) zu senden, erhalte ich eine Nachricht mit folgendem Inhalt:
Mah54
"Sie haben das Signieren dieser Internetnachricht angefordert, aber Ihre aktuelle ID enthält kein Internetzertifikat zum Signieren oder gibt es nicht an. Wählen Sie OK, um diese Nachricht trotzdem zu senden. Wählen Sie Abbrechen, um die Nachricht nicht zu senden."
Mah54
Zur Information habe ich mein persönliches Zertifikat in meiner NAB durch hinzugefügt Aktionen - Internet-Zertifikate importieren Aber wenn ich nachschaue Datei & gt; Sicherheit & gt; Mail & gt; Option für Mails ... & gt; Konfigurationszertifikat Ich finde kein Internet-Zertifikat und kann daher keine signierte E-Mail senden (dann verschlüsselt)
Mah54
Bitte überprüfen Sie meine Bearbeitung.
Torsten Link
0

Nach der Recherche möchte ich Ihnen die Lösung für mein Problem mitteilen.

Die Notes-Version 8.5.x unterstützt SHA-2 nicht und hat leider keinen Hotfix auf 8.5.x zur Unterstützung von SHA-2.

SHA-2 ist nur in Domino 9.0.x verfügbar, da "8.5.x" fehlt   die kryptografische Infrastruktur für SHA-2

Deshalb bekomme ich diese Fehlermeldung.

Ich habe das gleiche Zertifikat auf Notes 9.0.1 getestet und alles ist in Ordnung.

Zur Information :

Microsoft empfiehlt, dass Zertifizierungsstellen nicht mehr neu signieren   Zertifikate mit dem SHA-1-Hash-Algorithmus generiert   Migration zu SHA-2.

Mah54
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.