-1

将 Domino 服务器作为 Web 服务的客户端时遇到一些问题 希望有人可以回答一个非常简单的问题,但是这个简单的问题没有我能找到的答案。

NAB 中有很多根证书,并且您在 certsrv.nsf 中为您的服务器证书创建的每个 *.kyr 文件中也有一些常见的根证书。

我从 SSL_DEBUG 收到一条错误消息,显示
[108C:005C-0D8C] 2015-12-15 19:07:19,34 SSLCheckCertChain> 收到无效证书链
[108C:005C-0D8C] 证书链评估状态:错误:3659,不能建立对证书或 CRL 的信任。

很明显是什么问题,我需要包含一个丢失的证书。但我想知道 Domino 是在使用 *.kyr 文件还是在建立与远程服务器的连接时使用 NAB 中的证书。

有人知道 Domino 在这里的行为吗?

/斯蒂芬

4

2 回答 2

2

您必须找出 TLS 证书链并将所有公共 TLS 证书作为受信任的 Internet 证书添加到您的 domino 目录。

找出证书链

  1. 使用此工具:

    • 用于内部和外部服务器SSLyze

      sslyze.exe <servername>:443 --certinfo=basic

      看一眼Certificate Chain Received:

    • 对于外部服务器SSL Labs

      转到“认证路径”部分

  2. 从 CA-Webpage 下载公共证书或从您的内部 CA 负责人处获取。

分步 Domino 配置

  1. 进口证书

    将 Internet 验证者导入 Domino 目录

  2. 交叉证书证书

    服务器:选择您的管理服务器或托管 Domino CA(不是 SSL CA)的服务器。

    验证者:选择您的验证者 ID 或 Domino CA

    根据验证者文档在 Domino 目录中创建 Internet 交叉证书

    颁发交叉证书

Java/LotusScript 端

必须告知 Java 或 LotusScript Consumer 接受 CA 安全性 (stub.setSSLOptions(PortTypeBase.NOTES_SSL_ACCEPT_SITE_CERTS);)

示例基于使用LotusScript 和 Java 创建您的第一个 Web 服务提供者和使用者。

爪哇

HwProvider stub = new HwProviderServiceLocator().getDomino();
stub.setSSLOptions(PortTypeBase.NOTES_SSL_ACCEPT_SITE_CERTS); 
String answer = "" + stub.HELLO("world"); 
System.out.println("The answer is : " + answer);

LotusScript

Dim stub As New HwProvider()
stub.setSSLOptions(NOTES_SSL_ACCEPT_SITE_CERTS)
MessageBox stub.Hello("world")

更多信息

问题“为 Domino Java 代理创建交叉证书?” 相似但不重复。它显示了进一步的方面。

于 2015-12-16T13:02:03.427 回答
0

感谢您的意见,但这并没有解决问题。

我通过以下方式解决了-下载KYRtool-安装在/Domino文件夹中-将Web服务域中的根证书(SHA2)包含到现有的.kyr文件中-重新启动http任务

所以结论是 .kyr 文件正在处理传出连接中的所有内容

于 2015-12-17T13:42:55.703 回答