我的旧 Live 系统(Domino 8.5.3 / Windows 2003)不在 DMZ 上,需要升级到 SHA-2 证书。因此,我们还在 DMZ (Domino 9.0.1 FP6 / Windows 2008) 框中构建了一个新的测试服务器以将站点移动到。
我从 Test 9.0.1 文件夹顶部的 Live 复制了整个 Data 目录,以包含所有数据库和 jQuery 文件等...
然后我按照以下程序创建新证书:
https://www-10.lotus.com/ldd/dominowiki.nsf/dx/3rd_Party_SHA-2_with_OpenSSL_and_kyrtool?open
我使用该程序生成了一个新的 CSR,我们将其发送给 GoDaddy,让他们为新的测试系统重新设置 SHA-2。
他们返回到 CRT 文件。
1) gd_bundle-g2-g1.crt - 我相信它拥有根证书和中间证书。但是,我只在其中找到了两个证书。
2) 8e0702e83bd035e9.crt - 这有站点证书
我提取了两个 GoDaddy 证书:godaddy_root_Base64_x509.cer GoDaddy_Secure_CA-G2_Base64_X509.cer
然后使用以下命令将它们连接在一起:输入 server.key 8e0702e83bd035e9.crt GoDaddy_Secure_CA-G2_Base64_X509.cer godaddy_root_Base64_x509.cer > hbcln04_server.txt
我遵循了上述过程中的所有步骤。唯一的区别是程序显示了 2 个中间证书,但 GoDaddy 只给我发了一个。
但是,我能够按照程序所述验证密钥和证书。
过程中没有错误。
我将新的 kyr 文件与其他文件一起放在 Data 目录中,然后转到网站文档并将那里的引用更改为新的 kyr 文件名。
请注意,这是一个网站文档,而不是服务器文档。
我什至去了服务器文档并按照程序禁用和启用网站文档,以防 Keyring.kyr 文件的路径损坏。
但是,由于新的测试盒位于 DMZ 中,因此很难进行测试。
因此,我修改了服务器主机文件以将证书域映射回同一个框。(否则 DNS 会继续将其带回 Live 系统。)
关于将域映射到测试框的 IP 是否适用于 HTTPS 存在一个问题。但是,我不明白为什么不这样做。
但是无论我做什么,我都无法获得证书。
我输入了该站点的 URL,如果它是 HTTP,它就可以工作,但是当我更改它的 HTTPS 时,我得到了这个:
此页面无法显示
- 列表项 确保网址 https:_Link_to_site 正确。
- 列表项 使用搜索引擎查找页面。
- 列表项 几分钟后刷新页面。
然后我刷新页面,我得到了这个:
此页面无法显示
在高级设置中打开 TLS 1.0、TLS 1.1 和 TLS 1.2,然后尝试再次连接到 https:_Link_to_site。如果此错误仍然存在,则该站点可能使用了不受支持的协议或密码套件,例如 RC4(详细信息的链接),这被认为是不安全的。请联系您的站点管理员。
不幸的是,我是网站管理员!
我看到的唯一与该程序不同的是:1)我只有 1 个中间证书,而不是示例中的 2 个。2)我正在使用主机文件将域映射到服务器,因此它不遵循通常的 DNS。
另请注意,日志中没有错误。我们确实有一些关于访问密钥文件的内容。kyr 文件很好,但是 sth 文件的访问权限受到限制。这已经得到纠正。
目前,我什至不知道在哪里寻找错误或打开什么来查看错误。
似乎证书没有加载。
请帮忙。