Причина ошибки заключается в том, что для импорта сертификата в ваш идентификатор требуется полная цепочка сертификатов, которой нужно доверять. По умолчанию некоторые из более новых промежуточных сертификатов отсутствуют ни в каталоге domino, ни в вашей личной адресной книге, ни в вашем файле id.
Если вам это нужно только для себя, то используйте диалог, который вы уже нашли, чтобы импортировать корень и все промежуточные продукты в вашем файле идентификатора с помощью Your Certificates - Get Certificates - Import Internet Certificates
кнопки и добавить их (сверху вниз, root -> промежуточный -> персональный) к вашему идентификатору.
Если вам это нужно для более чем одного пользователя, то добавьте промежуточный сертификат непосредственно в каталог domino. Тогда он будет автоматически использоваться для каждого пользователя. Чтобы сделать это, откройте names.nsf на своем сервере, перейдите к Security\Certificates
просмотру и нажмите Actions - Import Internet Certificates
. Затем выберите сертификаты и импортируйте их.
Чтобы сертификаты работали, ОЧЕНЬ важно:
- импортировать их в правильном порядке
- не забывайте никакого промежуточного
- убедитесь, что у вас есть полная и правильная цепочка
Я приведу один пример (это для сертификатов сервера, но то же самое верно для сертификатов MIME):
Если у вас есть сертификат сервера Thawte 123, то вам в первую очередь нужен сервер Thawte Premium:
Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com Subject: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
Эту информацию можно извлечь, используя бесплатный openssl-инструмент с командой openssl x509 -in filenamewithcert.pem -text
Вы видите: в этом сертификате и субъект сертификата идентичны: это самозаверяющий корень.
Тогда вам нужен thawte Primary Root:
Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com Subject: C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - For authorized use only, CN=thawte Primary Root CA
Вы видите: ISSUER - первый импортированный сертификат. ВАЖНО, чтобы они совпадали.
И последний из них - до сертификации вашего собственного сервера - это Thawte DV SSL CA:
Issuer: C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - For authorized use only, CN=thawte Primary Root CA Subject: C=US, O=Thawte, Inc., OU=Domain Validated SSL, CN=Thawte DV SSL CA
Это само подписано Первичным корнем.
Очень часто подписчики ваших сертификатов не позволяют вам легко узнать, какие сертификаты используются для подписи ваших собственных. Используйте openssl, чтобы узнать и «перепроектировать» правильный порядок. Если вы импортируете все в этом порядке и не пропустите промежуточное звено, то это будет работать.