Zertifikatskette im DCM

[Muchi]

Wieso erstellt Du nicht selber ein Zertifikat und eine Zertifizierungsinstanz. Wenn Du den DCM installierst hast, geht das sehr schnell. Hast Du auch die Lizenzprogramme 5722-AC3 und CE3 installiert?

Gruß Michael

[Kurmas Zeschlon]

Danke für die Antwort, aber ich denke, wir müssen schon die Zertifikate unseres Lieferanten nutzen, damit die Anbindung klappt.

Inzwischen konnte ich auch das dritte Zertifikat als CA installieren, aber SSL_Init() liefert jetzt den Returncode -97 (SSL_ERROR_BAD_CIPHER_SUITE).

Übrigens hat der SSL_Handshake funktioniert, nachdem die beiden anderen Zertifikate installiert waren. Das PGM hakte dann erst beim SSL_Write().

Gruß
K.

[Kurmas Zeschlon]

Es gibt wieder Neues.

Wir sind inzwischen wieder so weit, daß der SSL_Handshake funktioniert.

Beim SSL_Write() wird stets der Returncode 0 geliefert.

Wir vermuten die Fehlerquelle an einer von zwei Stellen:

1) Das Zertifikat, das von der entfernten Maschine kommt, enthält einen Verweis auf den DNS-Namen des Servers (das ist sicher). In den SSL-Funktionen verwenden wir aber nur die IP-Adresse. Vermutung: Das Schreiben wird abgelehnt, weil das Zertifikat nicht zum Namen der angesprochenen Seite paßt. Solche Fehlermeldungen sieht man ja auch gelegentlich im Webbrowser.

2) Wir haben ein Programm, das lediglich einen Socket erzeugt und dann schreiben wir einfach mit Write(). Seltsamerweise werden vorne immer zwei Byte mehr übertragen, als in der Variablen stehen, auf die der übergebene Pointer zeigt. Wenn dies auch beim SSL_Write() geschieht, könnte der entfernte Server unsere Anfrage wegen ungültiger Zeichen abweisen.

Wir haben bereits Kontakt mit dem IBM-Support in der Sache, aber leider ist noch keine Lösung dabei herausgekommen.

Schöne Grüße
K.