HILFE! Certifier - Problem ... "Root" expires ...

[jww]

Hallo in die Runde,

leider bin ich aus dem Thema Zertifizierung und User- bzw. Server-ID's schon so lange draussen, dass ich mich grad ziemlich unbeholfen anstelle ...kann mir vielleicht jemand auf die Sprünge helfen?

Folgendes Problem:
Die Wurzel-Instanz meiner Zertifikate-Hierarchie läft demnächst (genauer gesagt in wenigen Tagen) aus. Dem entsprechend müßte ich alles neu "runterzertifizieren", also wohl eine neue Wurzelinstanz (-ID) generieren mit demselben Namen und dann alles nachzertifizieren.

Das aber würde evtl. auch bedeuten, dass alle lokalen Verschlüsselungen "über die Wupper gehen"?

Glücklicherweise habe ich nur noch meine Server und zwei User-ID's in Benutzung, wobei beide User und die Server (historisch, das wurde alles irgendwann um 1995/96 oder wahrscheinlich sogar früher, generiert) auf drei unterschiedlichen Sub-Zertifikaten beruhen sodaß nur vier Zertifikate, zwei User-ID's und drei Server-ID's betroffen sind.

Struktur ist:

De/<company>/<sub-co>/<abteilung oder server>/<name>


Fragen:
1.) Gibt es eine Möglichkeit, das Ablaufdatum einer Wurzel-ID (und weiteren, daraus abgeleiteten ID's) zu verlängern oder muß eine neue ID erstellt werden?
Falls ja .. könntet Ihr bitte stichwortartig die Schritte beschreiben? Ich habe schon viele Zertifikate erstellt und all die Admin Tätigkeiten durchgeführt, aber letzmalig vielleicht vor 15 Jahren.


2.) Falls 1.) nicht geht, welche Empfehlung gibt's um das Dilemma zu lösen und die Auswirkungen klein zu halten?

1000 Dank im Voraus!
jww

[ronka]

Du kannst den Root mit sich selbst neu zertifizieren, und danach den automatischen mechnismen zum rezertifizieren verwenden.

Damit bleibt alles (bis auf den Ablauf datum) identisch mit den alten.

KEIN neuen ID generieren mit den gleichen namen, DANN würdest du masive problemen bekommen.

[jww]

1000 Dank. werde das ausprobieren!

[jww]

ausprobiert .. geht.

Irgendwie ist es aber ziemlich "deppert": die Top Level cert ist ausgelaufen, aber die sub-levels nicht ... dass man nicht nur die top-level austauschen kann produziert reichlich arbeit.

Naja ...

[ronka]

Das haben Sie derjenige zu verdanken der das Erstellt hat.
Normalerweise wird der Certifier mit 100 Jahren erstellt, den Server mit 10 und die User mit jeweils 2 Jahren.

Wenn das nicht so war/ist, hat jemand wohl (oder übel) den manuell geändert.

[jww]

Potenziell war ich das selbst. 

Wir haben Notes bereits in V1 eingesetzt (OS/2, flat certs) und sind dann mit 2.0 in D "flächendeckend" gestartet. Ich meine, das war auch noch "flat" und irgendwann ich weis nicht mehr, wann genau das war - V3?? - sind wir auf hierarchische Zertifikate umgestiegen.

Allerdings finde ich es Quatsch, überhaupt zuzulassen, dass ein Sub-Zertifikat länger läuft als das "höhere" Zertifikat.

Ich denke, dass das damals einfach noch ein "altes Wissensgap" auch bei Lotus war - bedenke ... in den 90'ern hat kaum jemand überhaupt gewusst, was Zertifikate sind, wie RSA funktioniert etc .. ich habe damals bei Banken Schulungen zum Thema Authentifizierung und Verschlüsselung gegeben. Wir hatten damals auch eher das Y2000 Problem vor Augen denn das Ablauf-Datum eines Notes-Zertifikats ...

Anyhow. Hat ja alles geklappt und ich habe die Zertifikate jetzt mal auf nach meinem voraussichtlichen Tod gelegt ...

[Pfefferminz-T]

Zumindest seit V4 wird der erste Zertifizierer, der ja beim Aufsetzen des ersten Servers erstellt wird, mit 100 Jahren ausgelegt - ein anderes Ablaufdatum bedeutet eine manuelle Änderung des Ablaufs durch einen Admin. Also ein Rezertifizieren, wie Du es jetzt auch gemacht hast, nur mit einer Verkürzung. Zu vor v4 kann ich das leider nicht sagen.

[jww]

Spät, aber trotzdem: Danke in die Runde.

Konnte das Problem lösen und habe die Certifier jetzt mal auf 20 Jahre nach meinem wohl höchsten Lebensalter gesetzt .. jetzt tickt nur noch die Betriebssystem-Zeitbombe, ab wann wohl V7 wirklich nicht mehr zu betreiben ist ... habe inzwischen win7 "isoliert" sodass mir auch das Ende der Win Updates nicht so wirklich problematisch erscheint, denn an dem Rechner kommen nur 3 oder 4 ports an. Vielleicht werden meine Server die letzten laufenden V7 sein ... wer weiss?

[stoeps]

Win 7? Server? Isoliert und 3-4 Ports offen?

Du weisst dass in 18 Tagen 2020 und nicht die Jahrtausendwende ist?

Dann migrier das Zeug halt auf Linux, bitte. Aber das ist falsch in Sicherheit gedacht und Geld "gespart".

Ach du sprichst von Domino 7? Webadmin.nsf erreichbar?

Vergiss meinen Quatsch. Historisch + 2 User...

[jww]

yep!