Domino исходящий как клиент

Возникли проблемы с сервером Domino в качестве клиента веб-службы Надеюсь, кто-то может ответить на довольно простой вопрос, но на этот простой вопрос нет ответа, который я могу найти.

В NAB есть много корневых сертификатов, а также есть несколько общих корневых сертификатов в каждом файле *.kyr, который вы создаете в certsrv.nsf для сертификатов вашего сервера.

Я получаю сообщение об ошибке от SSL_DEBUG, которое говорит
[108C:005C-0D8C] 2015-12-15 19:07:19,34 SSLCheckCertChain> Получена недопустимая цепочка сертификатов
[108C:005C-0D8C] Статус оценки цепочки сертификатов :err: 3659, Не удается установить доверие к сертификату или CRL.

Совершенно очевидно, в чем проблема, мне нужно включить отсутствующий сертификат. Но мне хотелось бы знать, использует ли Domino файл *.kyr или сертификаты в NAB при установлении соединения с удаленным сервером.

Кто-нибудь знает, как Домино действует здесь?

/Стефан


client lotus-domino sha2
person Stefan K    schedule 16.12.2015    source источник

Ответы (2)


arrow_upward
2
arrow_downward

Вы должны найти цепочку сертификатов TLS и добавить все общедоступные сертификаты TLS в качестве доверенных интернет-сертификатов в свой каталог домино.

Узнать цепочку сертификатов

  1. Используйте один из этих инструментов:

    • Для внутреннего и внешнего сервера SSLyze

      sslyze.exe <servername>:443 --certinfo=basic

      Взгляните на Certificate Chain Received:

    • Для внешнего сервера SSL Labs

      Перейти в раздел «Пути сертификации»

  2. Загрузите общедоступные сертификаты с веб-страницы ЦС или получите у ответственного лица внутреннего ЦС.

Пошаговая настройка Domino

  1. Импорт сертификатов

    Импорт сертификата Internet в Domino Directory

  2. Сертификаты перекрестного сертификата

    Сервер: выберите сервер администрирования или сервер, на котором размещен ЦС Domino (не ЦС SSL).

    Сертификатор: выберите свой идентификатор сертификатора или ЦС Domino.

    Создание межсетевого межсетевого сертификата в Domino Directory из подтверждающий документ

    Выдать кросс-сертификат

Сторона Java/LotusScript

Потребителю Java или LotusScript необходимо сообщить о принятии безопасности CA (stub.setSSLOptions(PortTypeBase.NOTES_SSL_ACCEPT_SITE_CERTS);)

Примеры основаны на Создание вашего первого поставщика и потребителя веб-сервисов на LotusScript и Java.

Джава

HwProvider stub = new HwProviderServiceLocator().getDomino();
stub.setSSLOptions(PortTypeBase.NOTES_SSL_ACCEPT_SITE_CERTS); 
String answer = "" + stub.HELLO("world"); 
System.out.println("The answer is : " + answer);

Лотоскрипт

Dim stub As New HwProvider()
stub.setSSLOptions(NOTES_SSL_ACCEPT_SITE_CERTS)
MessageBox stub.Hello("world")

Дальнейшая информация

Вопрос "Создать кросс-сертификат для агента Domino Java?" аналогичен, но не повторяется. Он показывает дополнительные аспекты.

person notes-jj    schedule 16.12.2015

arrow_upward
0
arrow_downward

Спасибо за ваш вклад, но это не решило проблему.

Я решил: загрузите KYRtool - установите в папку /Domino - включите корневой сертификат (SHA2) из ​​домена веб-службы в существующий файл .kyr - перезапустите задачу http.

Таким образом, вывод состоит в том, что именно файл .kyr обрабатывает все данные в исходящих соединениях.

person Stefan K    schedule 17.12.2015
comment
Странно и интересно. Я должен попробовать это. - person notes-jj; 17.12.2015