web-dev-qa-db-ja.com

Go DaddySSLを使用してDomino9.0.1で認識されない認証局の署名を回避するにはどうすればよいですか?

私はせいぜい非常勤の管理者なので、これらのことを行うことができるのは2〜3年に1回だけです。

8.5.2で動作したLinuxサーバーを再インストールしています。 SSL証明書はGoDaddyからのものです。 keyfile.kyrを1/2ダース作成しましたが成功しませんでした。 Domino管理者ヘルプの指示に従うI

  1. キーホルダーを作成します
  2. CAからのSSLサーバー証明書」のリクエストを作成します
  3. Go Daddyサイトで、SSL証明書にアクセスし、[キーの再生成]オプションを使用して、SHA-2署名アルゴリズムとGoDaddy発行組織でリクエストを作成します。
  4. 数分以内に、私がダウンロードしたダウンロードが利用可能になります。このダウンロードには2つのファイルが含まれています:Gd_bundle-g2-g1.crtおよび2b026decb857de.crt
  5. 次に、「CA証明書を信頼されたルートとしてサーバーのキーリングファイルにマージする」ことを試みます。から Gd_bundle-g2-g1.crtファイル。成功のレベルが異なる3つの証明書があります...

ファイルの最初の証明書は、一般名「Go Daddyルート認証局-G2」用です。マージしようとすると、「証明書の署名が内容と一致しません」という結果になります。

ファイル内の2番目の証明書は、一般名「Go Daddy Secure Certificate Authority-G2」用です。マージしようとすると、「信頼されたルートの中に証明書発行者が見つかりません」という結果が得られます。

ファイルの3番目の証明書は、一般名「Go DaddyRoot」用です。それをマージする試みは成功します。

これらのアクティビティの順序に関係なく、エラーは最初の2つで持続します。

証明書をキーリングにインストールする」の次の手順を実行しようとすると、「認証局の署名が認識されません」というメッセージが表示されます。これにより、オプションで証明書をマージできます。ただし、この方法でマージされた証明書を使用すると、Webサイトが検証されず、SSLロックが例外感嘆符に置き換えられます。

Go Daddyの他の.crtファイルのいくつかをここで入手してみました: https://certs.godaddy.com/anonymous/repository.pki これ以上成功しません。

これについてのあなたの考えを前もって感謝します。

1
Newbs

問題は、証明書を更新したときに、まだ適切にサポートされていないSHA2のデフォルトの暗号化方式を受け入れたことです。 SHA1に切り替える必要がありました。以前はSHA1がデフォルトでしたが、最近変更されました。今後の注意点。

デフォルトでは、godaddyはより高い新しい形式で証明書を発行するようになりました。 godadayで証明書を再発行し、sha1を選択できます。

4
Andrew Pollack

まず、インポートの正しい順序を決定する必要があります。ルート証明書は、[信頼されたルート証明書をインストール...]ボタンを使用して最初にインポートされます。次はルート-G2で、最後にセキュリティが必要だと思います。すべてのルートを正しい順序でインストールすると、証明書自体をインストールできるようになります。

この理由は次のとおりです。証明書をチェーンと考えてください。誰かを信頼するルールは次のとおりです。私があなたの父親を信頼する場合、私はあなただけを信頼します。 「ルート」証明書自体には父親がありません(そのため、ルートと呼ばれます)。最初にインポートします。このルート証明書を使用して、別の証明書が発行されます。 G2をインポートするには、すでにその父親を信頼している必要があります。トリッキーなことは、「誰が何を発行したか」を見つけて、正しい方向にインポートすることです。チェーンが完了したら、証明書自体をインストールできます。

1
Torsten Link