Lotus Notes: problema ao importar certificado Symantec / Verisign

Question

Lotus Notes: problema ao importar certificado Symantec / Verisign

#1 resposta do (0 votos)
#2 resposta do (0 votos)

0

Para assinar / criptografar E-mail Instalei o certificado Verisign S-Mime da Verisign e o exportei do IE como um .pfx (PKCS # 12).

Meu problema é quando eu tentei importá-lo em Segurança > Minha identidade > sua certificação > Importar certificado recebi este erro:

The signature on the server is invalid, detail can be found in protocol

Eu vi na Internet que tenho que ter certeza de que o certificado raiz VeriSign_Class_1_Public_Primary_Certification_Authority _G3 e o certificado intermediário Assinante individual do Symantec Class 1 - G5 estão instalados.

No meu caso, quando eu faço check-in, encontro todos os certificados, exceto no Lotus Notes Fichier > segurança > identidade de outros > certificação > Internet All Eu vejo a raiz Verisign, mas não encontro o certificado intermediário (Symantec ...).

Como posso importar este certificado intermediário e alguém tem alguma ideia se essa é realmente a origem do problema?

Eu uso o Lotus Notes 8.5

smime lotus-notes digital-signature

por Mah54 04.04.2016 / 12:36

2 respostas

Tags smime lotus-notes digital-signature

Como usar a interface antiga do Wireshark? Script de provisão da shell não criando .bash_aliases

score 0 · Answer 1

O motivo do erro é que, para importar um certificado para o seu ID, você precisa da cadeia de certificados completa para ser confiável. Por padrão, alguns dos novos certificados intermediários não estão no diretório domino, nem no seu catálogo de endereços pessoal, nem no seu arquivo id.

Se você só precisa disso, use a caixa de diálogo que já encontrou para importar a raiz e todos os intermediários em seu arquivo id usando o botão Your Certificates - Get Certificates - Import Internet Certificates e adicione-os (de cima para baixo, raiz - > intermediário - > pessoal) para o seu ID.

Se você precisar disso para mais de um usuário, adicione diretamente o certificado intermediário ao diretório domino. Em seguida, ele será usado automaticamente para todos os usuários. Para fazer isso, abra names.nsf em seu servidor, vá para Security\Certificates view e clique em Actions - Import Internet Certificates . Em seguida, selecione os certificados e importe-os.

Para que os certificados funcionem, é MUITO importante:

importe-os na ordem correta
não se esqueça de nenhum intermediário
verifique se você tem a cadeia COMPLETA e CORRETA

Eu darei um exemplo (é para certificados de servidor, mas o mesmo vale para certificados MIME):

Se você tem um certificado Thawte 123 Server, então você primeiro precisa do Thawte Premium Server:

    Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/[email protected]
    Subject: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/[email protected]

Esta informação pode ser extraída usando a ferramenta openssl-free com o comando openssl x509 -in filenamewithcert.pem -text

Você vê: neste emissor de certificado e assunto são idênticos: Esta é a raiz auto-assinada.

Então você precisa da raiz primária do thawte:

    Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server  CA/[email protected]
    Subject: C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - For authorized use only, CN=thawte Primary Root CA

Você vê: O ISSUER é o primeiro certificado importado. Isso é IMPORTANTE, que eles combinem.

E o último - antes de seu próprio certificado de servidor - é o Thawte DV SSL CA:

    Issuer: C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - For authorized use only, CN=thawte Primary Root CA
    Subject: C=US, O=Thawte, Inc., OU=Domain Validated SSL, CN=Thawte DV SSL CA

Que em si é assinado pela raiz principal.

Muitas vezes, os signatários dos seus certificados não facilitam a descoberta de quais certificados são usados para assinar os seus próprios. Use openssl para descobrir e "fazer engenharia reversa" na ordem correta. Se você importar tudo nesta ordem e não deixar nenhum intermediário, então funcionará.

score 0 · Answer 2

Depois de pesquisar, eu gostaria de compartilhar com você a solução para o meu problema.

O Notes versão 8.5.x não suporta o SHA-2 e infelizmente eles não têm nenhum hotfix no 8.5.x para suportar o SHA-2.

SHA-2 is only available in Domino 9.0.x because 8.5.x releases "lack the cryptographic infrastructure for SHA-2

É por isso que recebo esta mensagem de erro.

Eu testei o mesmo Certificado no Notes 9.0.1 e tudo está claro.

Para informações:

Microsoft recommends that certificate authorities no longer sign newly generated certificates using the SHA-1 hashing algorithm and begin migrating to SHA-2.