Форум продуктов IBM Lotus
Продукты IBM Lotus => IBM Lotus Notes & Domino => Тема начата: match90 от 09 Июль 2014, 15:56:05
-
Здравствуйте,
Надо настроить https доступ на Lotus Domino 8.5.
Все сделал как описано:
http://www.intuit.ru/studies/courses/1045/256/lecture/17799?page=1
Не работает.
HTTP работает нормально.
В чем может быть проблема?
Заранее спасибо.
-
А почему решили, что не работает?
Трудно описать решение проблемы, когда не видишь как оно работает или не работает.
Если ошибок нет (судя по описанию), то почему решили, что не работает?
И еще, в статье описано как настроить Центр Сертификации на Domino.
А вам надо выпустить сертификат для сервера Domino и задачи http/smtp/imap/pop3 и т.д. все они используют один и тот же файл
-
Не работает ни в одном броузере.
Ошибка 552
(не известный протокол безопасности
В базе domlog.nsf ничего нет
-
>>...
описано как настроить Центр Сертификации на Domino.
А вам надо выпустить сертификат для сервера Domino и задачи http/smtp/imap/pop3 и т.д. все они используют один и тот же файл
...<<
Сорри, не понял этой фразы:
Центр Сертификации нужен, чтобы было у кого получить доверенный сертификат.
Я его получил и запросил сертификат на свой Lotus.
(пока сертификат клиента на обсуждаем
Мне надо защитить только http.
Вообщем не понял вашего вопроса.
-
Для выпуска сертификата для сервера, необходимо:
1. Иметь центр сертификации (любой). Есть? Тогда переходим к п.2. Если нет, то создаем Центр сертификации и переходим к п.2
2. Выпустить кольцо ключей через Server Certificate Admin
3. Создать запрос на выпуск сертификата.
4. Подписать запрос сертификата в центре сертификации.
5. Подгрузить в кольцо ключей корневые сертификаты центра сертификации.
6. Подгрузить подписанный/заверенный центром сертификации сертификат в кольцо ключей.
7. Полученные два файла .kyr и .sth положить в Data каталог и указать в настройках имя кольца ключей.
4-й и 5-й пункт можно делать параллельно или наоборот, последовательность такая не обязательна.
Защита сертификатом всех протоколов производится с помощью одного и того же кольца ключей. Все зависит о конкретно Вашей конфигурации сервера (например, использование документов Internet Sites или конфигурационных)
И кольцо ключей выпускается не в центре сертификации, оно там подписывается.
-
Можете пояснить: Как создать "Центр сертификации"?
Можно это сделать непосредственно на самом Lotus сервере?
Спасибо за помощь.
-
Центр сертификации вы создали по инструкции, на которую бросали ссылку в первом посте, а конкретно в той статье раздел: "Создание Domino Certificate Authority" в переводе с русского на русский Создание центра сертификации Domino.
В этом центре сертификации вы и будете подписывать запрос на выпуск серттификата и после его подписания, подгружать в кольцо ключей.
Как выпустить сертификат, я уже описывал выше, ну или детальней в той же статье "Запрос и установка сертификата сервера"
-
Понятно.
Итак иду по шагам:
1.Создаю центр сертификации:
1.1 Создаю базу Domino Certificate Authority - шаблон cca50.ntf
1.2 Выполняю "Certificate Authority Key Ring and Certificate" - создаю файл CAKey.kyr
1.3 Выполняю "Configure Certificate Authority Profile" - заполняю параметры
2. Запрашиваю доверенный сертификат и устанавливаю сертификат сервера
2.1 Создаю базу Server Certificate Administration - шаблон csrv50.ntf
2.2 Выполняю "Create Key Ring" - создаю файлы keyfile.kyr + keyfile.sth
2.3 Выполняю "Create Certificate Request" - получаю и запоминаю запрос в PKCS-формате
2.4 В Web-браузере открываю базу данных Domino Certificate Authority:
2.4.1 Выполняю "Request Server Certificate" - заполняю поля, вставляю запрос в PKCS-формате из п\п 2.3 и нажимаю "Submit Certificate Request"
2.4.2 Выполняю "Accept This Authority In Your Server" - получаю и запоминаю доверенный корневой сертификат от источника сертификатов
2.5 Открываю базу Server Certificate Administration, выполняю "Install Trusted Root Certificate into Key Ring", вставляю сертификат из п\п 2.4.2 и нажимаю "Megre Trusted Root Certificate Into Key Ring"
2.6 Открываю базу данных Domino Certificate Authority, выполняю "Server Certificate Requests", вижу запрос из п\п 2.4.1, жму "Approve" - запрос перемещается в представление "Аpproved Certificate requests"
2.7 В Web-браузере открываю базу данных Domino Certificate Authority, выполняю "Pick Up Server" Certificate, ввожу идентификатор Pick Up ID из п\п 2.6, получаю и запоминаю подписанный сертификат сервера
2.8 Открываю базу Server Certificate Administration, выполняю "Install Certificate into Key Ring" - вставляю сертификат п\п 2.7
По идее после этого у меня есть:
1.Центр\источник сертификации
2.Доверенный корневой сертификат от источника сертификатов в keyfile.kyr
3.Подписанный источником сертификат сервера в keyfile.kyr
Достаточно настроить SSL и все должно работать.
Но почему-то не работает.
Почему не понятно.
В чем может быть проблема?
-
Как выпускается кольцо ключей и подгружается в кольцо ключей подписанный сертификат:
Открыть базу Server Certificate Administration (см. скриншот)
В базе выбираем п.1 (см. файл 1.jpg) и жмем Create Key Ring
Выбираем п.2 (см. файл 2.jpg) и жмем Create Certificate Request.
Вводим пароль к кольцу ключей и копируем в буфер запрос (далее мы его вставляем для подписи).
Жмем п.3 (см. вложение 3.jpg) Сюда мы подгружаем корневые сертификаты созданного тобой центра сертификатов.
Подписываем в центре сертификации запрос
-
Жмем п.4 (см. вложение 4.jpg)
и жмем Merege Certificate into Key Ring
Теперь у нас есть кольцо ключей с подгруженными корневыми сертификатами центра сертификации и подписанный в ЦС сертификат.
Ищем два файла keyring.sth и keyring.key (имена и пути, указали в п.1) и копируем в Data каталог сервера, где будет запущена задача HTTP
В документах сервера указываем имя файла кольца ключей, и указываем, что задача HTTP работает как по 443 так и по 80 порту. Перезапускаем задачу HTTP. Готово.
-
Сделал, не работает.
Выгрузил keyfile в текст.
Вижу корневой сертификат и сертификат сервера.
Почему не работает не понимаю.
Наверно в чем-то еще проблема.
-
потому что подгрузка сертификатов не происходит корректно
Вы поймите отличие между кольцом ключей и сертификатом.
Центр сертификации у нас на Microsoft продукте. Поэтому по созданию центра сертификации и подписи в нем, подсказать не могу. Читайте доку. Как выпустить кольцо ключей для сервера, я описал.
Касательно - не работает. Какие ошибки при запуске http задачи? https включен?
-
Причина есть всегда, тут вы правы.
Отличие между сертификатом, который представляет собой двоичный файл, однозначно идентифицирующий сервер и кольцом ключей, который его содержит я понимаю.
При запуске http задачи никаких ошибок нет.
https включен.
Ошибка Opera:
Безопасное подключение: критическая ошибка (552)
https://ххх.ххх.ru/
Opera не может подключиться к серверу, так как сервер не отвечает ни по одному из безопасных протоколов, известных Opera.
>>Центр сертификации у нас на Microsoft продукте
Этой фразы, признаться, не понял.
-
>>Центр сертификации у нас на Microsoft продукте
Этой фразы, признаться, не понял.
ЦС можно поднять на Windows платформе (установив компоненты Windows Server)
А можно, как это делаете Вы с помощью продукта IBM Lotus Domino
включите расширенное логирование SSL
Description:
Can be used to debug SSL in Domino.
Possible options:
0 = No Information
1 = Little Information
2 = More information
3 = Full Information
Default value:
None
Syntax:
Debug_SSL_ALL=0/1/2/3
Example:
Debug_SSL_ALL=2
после применения параметра, перезапустите задачу http и смотрите консоль или лог (если включено расширенное логирование с записанием в базу).
И как вы видите, что задача https запущена?
-
Консоль:
set con Debug_SSL_ALL=2
tell http restart
18.07.2014 17:38:53 HTTP Server: Restarting
18.07.2014 17:38:53 XSP Command Manager Restarting...
18.07.2014 17:38:57 XSP Command Manager terminated
18.07.2014 17:38:58 Could not load ru strings from resource module: nstrings_ru
18.07.2014 17:38:58 Could not load ru strings from resource module: nstrings
18.07.2014 17:38:58 Could not load ru strings from resource module: nhttprs_ru
18.07.2014 17:38:58 XSP Command Manager initialized
18.07.2014 17:38:58 HTTP Server: Restarted
>>И как вы видите, что задача https запущена?
Вопроса не понял: как запустить https задачу?
-
Касательно ошибок:
в настройке интернета указал в секции dominowebengine использовать
string russian
поставь language pack эти файлы оттуда (core files) или измени на English.
И еще, параметр может этот сработать через время. Либо логирование Ssl на 2 маловато. Пробуй 3
и результат сюда
-
Еще раз:
18.07.2014 17:54:17 HTTP Server: Shutdown
18.07.2014 17:54:28,26 int_MapSSLError> Mapping SSL error -6976 to 4169
18.07.2014 17:54:28 HTTP Server: SSL Error: Keyring File access error, key ring file [keyfile.kyr], [Default Server]
18.07.2014 17:54:28 HTTP Server: Using Web Configuration View
18.07.2014 17:54:32 JVM: Java Virtual Machine initialized.
18.07.2014 17:54:32 HTTP Server: Java Virtual Machine loaded
18.07.2014 17:54:32 HTTP Server: DSAPI Domino Off-Line Services HTTP extension Loaded successfully
18.07.2014 17:54:32 Could not load ru strings from resource module: nstrings_ru
18.07.2014 17:54:32 Could not load ru strings from resource module: nstrings
18.07.2014 17:54:32 Could not load ru strings from resource module: nhttprs_ru
18.07.2014 17:54:34 XSP Command Manager initialized
18.07.2014 17:54:35 HTTP Server: Started
Тут больше информации:
HTTP Server: SSL Error: Keyring File access error, key ring file [keyfile.kyr], [Default Server]
Что-то с безопасностью файла keyfile.kyr?
-
Тут больше информации:
HTTP Server: SSL Error: Keyring File access error, key ring file [keyfile.kyr], [Default Server]
Что-то с безопасностью файла keyfile.kyr?
Заработало.
Столько проблем и потерянного времени, а всего-то надо было убедиться, что при копировании файла keyfile.kyr правильно унаследовалась безопасность файла.
Причина: копировал с машины в workgroup на машину workgroup.
На обоих локальный админ: Admin.
В общем другим наука)
Спасибо за помощь.
-
Касательно ошибок:
в настройке интернета указал в секции dominowebengine использовать
string russian
поставь language pack эти файлы оттуда (core files) или измени на English.
И еще, параметр может этот сработать через время. Либо логирование Ssl на 2 маловато. Пробуй 3
и результат сюда
Исправил, перезапустил http.
Ошибка
Could not load ru strings from resource module: nstrings_ru
Could not load ru strings from resource module: nstrings
Could not load ru strings from resource module: nhttprs_ru
Исчезла
-
УРАААААААААААААААААА!!!
Дебаг SSL всегда поможет понять причину проблемы
Но хочу сказать, что данная ошибка может быть связана и с отсутствием файла. И с другим именем.
Например, в настройках ты указываешь keyfile-lotus.kyr
и файл называешь keyfile-lotus.kyr
а вот сервер отказывается его воспринимать, будет та же ошибка
HTTP Server: SSL Error: Keyring File access error, key ring file [keyfile.kyr], [Default Server]
причина, вероятней всего кроется в скрытых формах конфигурации серверов (они исчезают, когда переключаешься на использование Internet Sites)
так что, менять надо и там и там.