Lotus Notes: проблема при импорте сертификата Symantec / Verisign

684
Mah54

Для подписи / шифрования электронной почты я установил Verisign S-Mime Certificate от Verisign и экспортировал его из IE в формате .pfx (PKCS # 12).

Моя проблема заключается в том, что при попытке импортировать его в меню «Безопасность»> «Моя идентификация»> «Сертификация»> «Импорт сертификата» я получил эту ошибку:

Подпись на сервере недействительна, подробности можно найти в протоколе

В Интернете я видел, что должен быть уверен, что установлен корневой сертификат VeriSign_Class_1_Public_Primary_Certification_Authority _G3 и промежуточный сертификат индивидуального подписчика Symantec Class 1 - G5 .

В моем случае, когда я проверяю в IE, я нахожу все сертификаты, но в Lotus Notes Fichier> безопасность> идентификация другого> сертификация> Интернет. Все, что я вижу в корне Verisign, но я не нахожу промежуточный сертификат (Symantec ...).

Как я могу импортировать этот промежуточный сертификат, и есть ли у кого-нибудь идеи, если это действительно источник проблемы?

Я использую Lotus Notes 8.5

0
Это не проблема безопасности, а проблема конфигурации Lotus Notes. Обратитесь за помощью в службу поддержки Lotus Notes или руководства. schroeder 8 лет назад 0

2 ответа на вопрос

0
Torsten Link

Причина ошибки заключается в том, что для импорта сертификата в ваш идентификатор требуется полная цепочка сертификатов, которой нужно доверять. По умолчанию некоторые из более новых промежуточных сертификатов отсутствуют ни в каталоге domino, ни в вашей личной адресной книге, ни в вашем файле id.

Если вам это нужно только для себя, то используйте диалог, который вы уже нашли, чтобы импортировать корень и все промежуточные продукты в вашем файле идентификатора с помощью Your Certificates - Get Certificates - Import Internet Certificatesкнопки и добавить их (сверху вниз, root -> промежуточный -> персональный) к вашему идентификатору.

Если вам это нужно для более чем одного пользователя, то добавьте промежуточный сертификат непосредственно в каталог domino. Тогда он будет автоматически использоваться для каждого пользователя. Чтобы сделать это, откройте names.nsf на своем сервере, перейдите к Security\Certificatesпросмотру и нажмите Actions - Import Internet Certificates. Затем выберите сертификаты и импортируйте их.

Чтобы сертификаты работали, ОЧЕНЬ важно:

  • импортировать их в правильном порядке
  • не забывайте никакого промежуточного
  • убедитесь, что у вас есть полная и правильная цепочка

Я приведу один пример (это для сертификатов сервера, но то же самое верно для сертификатов MIME):

Если у вас есть сертификат сервера Thawte 123, то вам в первую очередь нужен сервер Thawte Premium:

 Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com Subject: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com 

Эту информацию можно извлечь, используя бесплатный openssl-инструмент с командой openssl x509 -in filenamewithcert.pem -text

Вы видите: в этом сертификате и субъект сертификата идентичны: это самозаверяющий корень.

Тогда вам нужен thawte Primary Root:

 Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com Subject: C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - For authorized use only, CN=thawte Primary Root CA 

Вы видите: ISSUER - первый импортированный сертификат. ВАЖНО, чтобы они совпадали.

И последний из них - до сертификации вашего собственного сервера - это Thawte DV SSL CA:

 Issuer: C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - For authorized use only, CN=thawte Primary Root CA Subject: C=US, O=Thawte, Inc., OU=Domain Validated SSL, CN=Thawte DV SSL CA 

Это само подписано Первичным корнем.

Очень часто подписчики ваших сертификатов не позволяют вам легко узнать, какие сертификаты используются для подписи ваших собственных. Используйте openssl, чтобы узнать и «перепроектировать» правильный порядок. Если вы импортируете все в этом порядке и не пропустите промежуточное звено, то это будет работать.

@Tortsten: Спасибо за ваш ответ. На самом деле у меня нет проблем с добавлением корневого сертификата, он уже находится в моем Domino Directory, и я могу добавить его также через ** Безопасность> Моя личность> Получить сертификаты> Импортировать интернет-сертификаты ** Проблема заключается в том, когда я пытаюсь сделать то же самое Вещи с ** промежуточным сертификатом ** я получил ту же ошибку:> Подпись на сервере недействительна, подробности можно найти в протоколе Mah54 8 лет назад 0
Я следую за вами, чтобы добавить промежуточное звено через ** Действия - Импорт интернет-сертификатов ** в ** Name.nsf **, и все в порядке, Импорт всех сертификатов ** (Корень + Промежуточный + персональный) ** успешно, но в * * Безопасность> Моя личность> Получить сертификаты> Интернет-сертификаты ** я все еще не вижу свой личный сертификат, и когда я пытаюсь отправить сертифицированное электронное письмо на внешний адрес (Gmail / Yahoo), я получаю сообщение, в котором говорится: Mah54 8 лет назад 0
«Вы запросили подпись этого интернет-сообщения, но ваш текущий идентификатор не содержит или не указывает интернет-сертификат для подписи. Выберите« OK », чтобы отправить это сообщение в любом случае. Выберите« Отмена », чтобы не отправлять сообщение» Mah54 8 лет назад 0
для информации, я добавил свой личный сертификат в свой NAB через ** Действия - Импорт интернет-сертификатов ** Но когда я проверяю ** Файл> Безопасность> Почта> Опция для писем ...> Сертификат конфигурации ** я не нахожу Интернет сертификат, и поэтому я не могу отправить подписанное письмо (затем зашифровано) Mah54 8 лет назад 0
пожалуйста, проверьте мое редактирование. Torsten Link 8 лет назад 0
Спасибо за предоставленную информацию, но, как я уже сказал, Импорт через ** Моя идентификация ...> Импорт сертификатов Интернета ** не работает. У меня появляется сообщение об ошибке `Подпись на сервере недействительна, подробности можно найти в protocol` Mah54 8 лет назад 0
CHECKTHECHAI N ... Torsten Link 8 лет назад 0
Я уверен, что порядок, который я использовал при импорте, правильный, я также связался со службой поддержки Symantec, чтобы убедиться, что SCHAIN ​​и порядок верны Mah54 8 лет назад 0
на данный момент я добавил все сертификаты в свой ** Names.nsf ** и объединил Symantec с моими ID-заметками через ** Идентичность других> Людей и услуг **, чтобы сделать мой личный сертификат надежным. Но когда я пытаюсь отправить электронное письмо на внешний адрес @, я получаю сообщение, которое я только что упомянул: ** Вы запросили подпись этого интернет-сообщения, но ваш текущий идентификатор не содержит или не указывает интернет-сертификат для подписи. . ** Mah54 8 лет назад 0
Почему "Личность Другого" ???? Я боюсь, что вы должны напрямую связаться с профессионалом, это много, чтобы поддержать здесь, на суперпользователя ... Torsten Link 8 лет назад 0
0
Mah54

After researching I would like to share with you the solution for my Problem.

The Notes version 8.5.x does not support SHA-2 and unfortunately they have no hotfix on 8.5.x to support SHA-2.

SHA-2 is only available in Domino 9.0.x because 8.5.x releases "lack the cryptographic infrastructure for SHA-2

That's why i get this error message.

I tested the same Certificate on Notes 9.0.1 and everything ist okey.

For Information :

Microsoft recommends that certificate authorities no longer sign newly generated certificates using the SHA-1 hashing algorithm and begin migrating to SHA-2.