[GELÖST] Certifier-Probleme mit CA

[Sascha Seipp]

Moin allerseits,

nachdem ich schon eine Weile mit dem IBM-Support herum laboriere und nicht ganz sicher bin, ob die Verständnisschwierigkeiten eher auf meiner oder der anderen Seite liegen, versuche ich mal hier mein Glück:

Ursprüngliches Problem: ablaufende User-IDs konnten nicht verlängert werden, weil der Key nicht paßte. Ist auch richtig, weil vor einigen Jahren ungeschickterweise jemand einen neuen Certifier mit gleichem Namen anlegte, aber noch User da waren, die mit dem vorherigen Certifier registriert wurden. Bei einer Gültigkeit von 10 Jahren merkt man sowas erst etwas spät. :-/

Ergo wollte ich die IDs neu zertifizieren mit ID-File des Users und dessen Passwort. Das ging aber nicht mit dem aktuellen OU-Certifier in der CA (mit dem sich neue User problemlos anlegen lassen). Fehlermeldung: "Error: The signature on the certificate was found to be invalid." Wenn ich das ID-File des OU-Certifiers von Festplatte nehme, geht es dagegen problemlos.
Naheliegende Vermutung: Der Certifier auf Platte ist nicht derselbe wie in der CA, bzw. defekt (die Key Identifier waren identisch). Also aus der CA rausgeworfen und wieder neu migriert. Ergebnis: in der CA tut's nicht, außerhalb schon. (Alle anderen Certifier in der CA machen keine Probleme, sollte ich ergänzen).

Nächster Schritt war dann das Rezertifizieren des OU-Certifiers mit der OU obendrüber. Brachte nix. Also noch einen Schritt zurück (die Struktur bei uns ist: User/Tochterfirma/Standort/Org). Beim neu Zertifizieren des Standort-OU-Certifiers mit der Org hab ich gemerkt, daß die ID-Properties des ID-Files sich nicht geändert haben, obwohl die neuen Gültigkeitsdaten im Adressbuch korrekt sind. Hab ich nicht verstanden. Und deshalb diesen OU-Certifier noch nicht wieder in die CA zurück befördert.
Eine Idee wäre, daß man das neue Certifier-File erst einmal (zum Zertifizieren) benutzen muß, damit die aktuellen Daten da reingeschrieben werden, analog der Erstanmeldung einer User-ID am Server. Kann das sein?

Zum anderen wäre meine Frage: Wenn ich einen Certifier in der CA habe, wie ist dann der offizielle Weg, den zu verlängern, bevor er abläuft? Ein Re-Certify wie bei den Usern gibt's ja nicht, und für ein normales Certify brauche ich eine ID-Datei, die ich zum einen nicht "offiziell" aus der CA herausbekomme und zum anderen schon gar nicht wieder rein, es sei denn, ich nehme den Certifier komplett aus der CA raus. Aber das kann's ja nicht sein, oder?

Wäre das Key Rollover da der richtige Weg? Entspricht das dem Verlängern eines Certifiers (neben dem evtl. Erhöhen der Schlüsselstärke)? Das geht mir aus den Technotes nicht so ganz klar hervor - und wie gesagt, mein IBM-Supporter versteht gerade auch nicht so recht, was ich von ihm will..

Danke vorab!

Ciao
Sascha

[Sascha Seipp]

Moin,

nach einigen mit dem Support gezogenen Schleifen und diversen Mißverständnissen ist das Problem jetzt "gelöst" und mir einiges klarer:

a) Hauptproblem: Wenn man per Admin-Client -> Configuration -> Certification -> Certify.. eine User-ID neu zertifizieren will (also definitiv mit einem ANDEREN Certifier als dem, mit dem sie ursprünglich mal angelegt wurde), macht es einen großen Unterschied, ob man im nächsten Schritt sagt "Supply certifier ID and password" oder "Use the CA Process"!
Selbst wenn der dahinter genutzte Certifier in beiden Fällen derselbe, neue ist, führt der Ansatz über die CA zu einem AdminP-Task, der ein "Recertification" anstößt und damit prompt auf die Nase fällt, weil der alte Certifier ja eben nicht zum neuen paßt.
Nur mit dem direkten Benutzen der Certifier-ID samt Passwort funktioniert das Ganze wie erwartet und gewünscht.

b) OU-ID-File vs. Adressbuch: es ist tatsächlich so, wenn ich ein Certifier-ID-File neu zertifiziere, wird das "Update" erstmal nur ins Adressbuch geschrieben. Wenn ich dann anschließend dieses ID-File irgendwo verwende, also mit seinem Passwort gegen den Server prüfe (z.B. beim Rezertifizieren eines beliebigen Users - angeben des Certifier-ID-Files und des Passworts reicht schon, danach kann man den Vorgang abbrechen), wird der aktuelle Status auch in das ID-File geschrieben, und dessen Properties entsprechen dann erst denen im Adressbuch.

c) Rezertifizieren von Certifiern in der CA: faszinierenderweise muß man zum Rezertifizieren tatsächlich ein Certifier-ID-File zur Hand haben. Wenn man das neu zertifiziert (dabei ist dann wiederum egal, ob man den übergeordneten Certifier auch als Datei oder aus der CA auswählt - hier stimmt dann ja die Zuordnung), werden die neuen Daten wiederum ins Adressbuch geschrieben, aber auch in das ID-File in der CA. Nur das lokale ID-File muß man dann erst wieder lokal updaten (siehe b).

Da muß man erstmal drauf kommen, dachte sich wohl auch mein IBM-Supporter und hat jetzt eine Technote geschrieben, die wohl gerade intern bei IBM reviewt wird.

Inwieweit das ganze Prozedere jetzt mit Key Rollover verwandt ist, habe ich noch nicht herausgefunden, ist für mich aber auch nicht mehr so dringlich.

Vielleicht hilft's ja dem ein oder anderen..

Ciao
Sascha

[Tode]

Super Info! DANKE für diese ausführliche Rückmeldung!

[Sascha Seipp]

Moin Torsten,

ich bin ja hier größtenteils Nutznießer der Helden, die zu fast jeder Frage eine gute Antwort haben und sich die Zeit nehmen, sie zu geben. Wenn es sich also in seltenen Fällen mal ergibt, daß ich zu einer Fragestellung selber mal eine Antwort beisteuern kann, dann will ich das natürlich gerne tun.

Noch eine Ergänzung zu dem Fall, denn bis die Technote von IBM veröffentlicht ist, hab ich das wahrscheinlich selbst wieder vergessen ;-):
Die Technote sollte #1679730 (Certification using CA process will only RE-Certify) sein - ob Nummer und Name nach dem IBM-Review so bleiben, weiß ich natürlich nicht.

Ciao
Sascha