Для подписи / шифрования электронной почты я установил Verisign S-Mime Certificate от Verisign и экспортировал его из IE в формате .pfx (PKCS # 12).

Моя проблема заключается в том, что при попытке импортировать его в меню «Безопасность»> «Моя идентификация»> «Сертификация»> «Импорт сертификата» я получил эту ошибку:

Подпись на сервере недействительна, подробности можно найти в протоколе

В Интернете я видел, что должен быть уверен, что установлен корневой сертификат VeriSign_Class_1_Public_Primary_Certification_Authority _G3 и промежуточный сертификат индивидуального подписчика Symantec Class 1 - G5 .

В моем случае, когда я проверяю в IE, я нахожу все сертификаты, но в Lotus Notes Fichier> безопасность> идентификация другого> сертификация> Интернет. Все, что я вижу в корне Verisign, но не могу найти промежуточный сертификат (Symantec ...).

Как я могу импортировать этот промежуточный сертификат, и есть ли у кого-нибудь идеи, если это действительно источник проблемы?

Я использую Lotus Notes 8.5

|источник

2 ответа2

0

После исследования я хотел бы поделиться с вами решением моей проблемы.

Версия Notes 8.5.x не поддерживает SHA-2, и, к сожалению, в 8.5.x нет исправлений для поддержки SHA-2.

SHA-2 доступен только в Domino 9.0.x, потому что в версиях 8.5.x отсутствует криптографическая инфраструктура для SHA-2.

Вот почему я получаю это сообщение об ошибке.

Я протестировал тот же сертификат на Notes 9.0.1, и все в порядке.

Для информации :

Microsoft рекомендует, чтобы центры сертификации больше не подписывали новые сгенерированные сертификаты с использованием алгоритма хеширования SHA-1 и начали переход на SHA-2.

|источник
0

Причина ошибки заключается в том, что для импорта сертификата в ваш идентификатор требуется полная цепочка сертификатов, которой нужно доверять. По умолчанию некоторые из более новых промежуточных сертификатов отсутствуют ни в каталоге domino, ни в вашей личной адресной книге, ни в вашем файле id.

Если вам это нужно только для себя, воспользуйтесь диалоговым окном, которое вы уже нашли, чтобы импортировать корень и все промежуточные продукты в файле id с помощью кнопки « Your Certificates - Get Certificates - Import Internet Certificates и добавить их (сверху вниз, root -> промежуточный -> личный) к вашему идентификатору.

Если вам это нужно для более чем одного пользователя, то добавьте промежуточный сертификат непосредственно в каталог domino. Тогда он будет автоматически использоваться для каждого пользователя. Для этого откройте names.nsf на своем сервере, перейдите в представление « Security\Certificates и нажмите « Actions - Import Internet Certificates . Затем выберите сертификаты и импортируйте их.

Чтобы сертификаты работали, ОЧЕНЬ важно:

  • импортировать их в правильном порядке
  • не забывайте никакого промежуточного
  • убедитесь, что у вас есть полная и правильная цепочка

Я приведу один пример (это для сертификатов сервера, но то же самое верно для сертификатов MIME):

Если у вас есть сертификат сервера Thawte 123, то вам в первую очередь нужен сервер Thawte Premium:

    Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
    Subject: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com

Эту информацию можно извлечь с помощью бесплатного инструмента openssl с помощью команды openssl x509 -in filenamewithcert.pem -text

Вы видите: в этом сертификате и субъект сертификата идентичны: это самозаверяющий корень.

Тогда вам нужен thawte Primary Root:

    Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server  CA/emailAddress=premium-server@thawte.com
    Subject: C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - For authorized use only, CN=thawte Primary Root CA

Вы видите: ISSUER - первый импортированный сертификат. ВАЖНО, чтобы они совпадали.

И последний из них - до сертификации вашего собственного сервера - это Thawte DV SSL CA:

    Issuer: C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - For authorized use only, CN=thawte Primary Root CA
    Subject: C=US, O=Thawte, Inc., OU=Domain Validated SSL, CN=Thawte DV SSL CA

Это само подписано Первичным корнем.

Очень часто подписчики ваших сертификатов не позволяют вам легко узнать, какие сертификаты используются для подписи ваших собственных. Используйте openssl, чтобы узнать и "перепроектировать" правильный порядок. Если вы импортируете все в этом порядке и не пропустите промежуточное звено, то это будет работать.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .