Lotus Notes：导入 Symantec/Verisign 证书时出现问题

Question 1

错误的原因在于，为了将证书导入您的 ID，您需要信任完整的证书链。默认情况下，一些较新的中间证书既不在 domino 目录中，也不在您的个人通讯录中，也不在您的 ID 文件中。

如果您只是自己需要这个，那么请使用您已经找到的对话框，通过按钮导入您的 id 文件中的根和所有中间体，Your Certificates - Get Certificates - Import Internet Certificates并将它们（从上到下，根 -> 中间 -> 个人）添加到您的 ID。

如果您需要为多个用户提供此证书，则直接将中间证书添加到 domino 目录。然后它将自动用于每个用户。为此，请在您的服务器上打开 names.nsf，转到Security\Certificates查看并单击Actions - Import Internet Certificates。然后选择证书并导入它们。

为了使证书发挥作用，以下几点非常重要：

按正确的顺序导入它们
不要忘记任何中间
确保你有完整和正确的链条

我举一个例子（这是针对服务器证书的，但对于 mime 证书也是如此）：

如果您拥有 Thawte 123 服务器证书，那么您首先需要 Thawte Premium 服务器：

    Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/[email protected]
    Subject: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server CA/[email protected]

可以使用免费的 openssl- 工具通过以下命令提取此信息openssl x509 -in filenamewithcert.pem -text

你看：在此证书中，颁发者和主体是相同的：这是自签名根。

然后你需要解冻主根：

    Issuer: C=ZA, ST=Western Cape, L=Cape Town, O=Thawte Consulting cc, OU=Certification Services Division, CN=Thawte Premium Server  CA/[email protected]
    Subject: C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - For authorized use only, CN=thawte Primary Root CA

你会看到：ISSUER 是第一个导入的证书。这很重要，因为它们是匹配的。

最后一个 - 在您自己的服务器证书之前 - 是 Thawte DV SSL CA：

    Issuer: C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - For authorized use only, CN=thawte Primary Root CA
    Subject: C=US, O=Thawte, Inc., OU=Domain Validated SSL, CN=Thawte DV SSL CA

它本身是由主根签名的。

很多时候，证书的签名者并不会让您轻易找出哪些证书用于签署您自己的证书。使用 openssl 找出并“逆向工程”正确的顺序。如果您按照此顺序导入所有内容并且不遗漏任何中间内容，那么它将起作用。

Answer