OU in CA migriert und vergessen (oder nicht richtig gemacht). 10 Jahre später...

[Tode]

Witzig, wie immer ein und das selbe Thema in verschiedenen Umgebungen fast gleichzeitig aufpoppt (kommt mir zumindest so vor)...

Zum Thema:

Seit kurzem tritt bei einigen Benutzern folgender Fehler auf:

"The supplied certificate table used to validate the signer's public key is improperly formed"

Ich habe recherchiert, und das einzige, was die Benutzer gemeinsam haben, ist: Sie wurden kürzlich umzertifiziert, und der "Quell- Zertifizierer" war jeweils der selbe (Ziel- Zertifizierer sind unterschiedliche).

Nun habe ich weiter recherchiert und zum Quell- Zertifizierer folgendes gefunden:

Am 10.06.2004 wurde hier (Kundenumgebung) scheinbar zum "Probieren" eine OU in die CA migriert. Das Certifier- Dokument hat ein Attachment "CFG_nn2nl2m88l5k3o1k5mmkn68n96397kl6.nsf" und einen Tab "CA-Konfiguration".

Den Server, auf dem die CA eingerichtet war, gibt es schon lange nicht mehr, genau wie die beiden Admins, die das damals angelegt haben.

Daraus folgt meine Vermutung: u.U. ist das CA- Zertifikat nun, 10 Jahre später, abgelaufen, und deshalb klappt das nicht mehr...

Ich kann aber auch völlig daneben liegen, und die CA hat gar nix mit dem Problem zu tun.
Ich habe nach der Meldung gegoogelt und nix brauchbares gefunden.

Hat jemand eine Idee, wie ich das "gradeziehen" könnte?

[Tode]

UPDATE: Also ich bin jetzt soweit, dass ich definitiv bestätigen kann, dass es am /AZUBI/ZZZ/ORG - certifier liegt, dass die genannte Fehlermeldung kommt.

Ich kann einen Test- Benutzer wild zwischen den verschiedenen Zertifizierern hin und her bewegen.
Getestet habe ich:
/YYY/ORG -> /ZZZ/ORG,
/ZZZ/ORG -> /YYY/ORG und sogar
/ZZZ/ORG -> /AZUBI/ZZZ/ORG

>>> alles OK

sobald ich aber
/AZUBI/ZZZ/ORG nach /xxx/ORG umbenenne, bekomme ich die Meldung, dass die certificate table ungültig ist.

Nun muss ich also den /AZUBI/- Certifier "gradebiegen"... Also erst mal die CA- Informationen rauskriegen (ohne server und ohne icl- file), und dann weitersehen...

Das seltsame ist: Man kann ohne Probleme mit dem Zertifizierer arbeiten. Erst beim Move auf einen anderen Zertifizierer knallts, und das auch erst seit einiger Zeit (deshalb meine Vermutung, dass da irgend ein Zertifikat auf 10 Jahre ausgestellt war, was nun abgelaufen ist)...

[Tode]

führe ich mal meinen Monolog fort: ich habe mit dieser Anleitung den certifier wieder aus der CA antfernt, aber geändert hat das nichts.
Irgendwie ist das logisch, wenn man sich die Schritte anschaut, die zum entfernen benötigt werden, da passiert ja absolut nix mit dem Zertifizierer selbst...

Jetzt werde ich im nächsten Schritt mal den Zertifizierer selbst neu zertifizieren (natürlich erstmal in einer abgeschotteten Testumgebung), und schauen, ob sich das dann auf die Ergebnisse auswirkt

[MacSpudik]

Hallo Torsten,

nur mal so ins Blaue gedacht: Was passiert, wenn Du den Certifier wieder in eine CA mittels "Zertifizierer migrieren" migrierst und somit neu ICLs etc. erzeugt werden und der Zertifizierer Eintrag im NAB dadurch upgedatet wird?

Ich habe bei Adminserverwechsel auch immer meine Last, die CAs auf den neuen Adminserver zu bekommen. Solange die ICLs noch da sind (d.h. der alte Server noch läuft), geht das zumindest ganz gut, indem man die ICLs auf den neuen Server repliziert - Zertifizierer ändern wählt und die ICLs direkt vom neuen Server öffnet. Dann kann der CA-Server geändert werden ... aber ohne ICLs ... bin mal gespannt, was Du noch so rausbekommst 

Grüße von
Sebastian