Domino 9 und frühere Versionen > ND9: Administration & Userprobleme
ID neu zertifizieren
michael-r:
--- Zitat von: Wolfgang am 02.10.19 - 15:27:03 ---… ich habe das damals in einem solchen Fall wie folgt gemacht und notiert, weiß aber nicht, ob das noch so funktioniert und ob es einen besseren Weg gibt:
- alte ID mit neuem Zertifizierer zertifizieren.
- Fehlermeldung erscheint, die besagt, dass der betreffende Eintrag im Adressbuch nicht gefunden wird mit der Frage, ob die ID dennoch zertifiziert werden soll. Diese Abfrage bestätigen.
- bei der ersten Anmeldung mit dieser ID erscheint eine Fehlermeldung mit dem Hinweis, dass die Zertifikate in ID und Personendokument nicht übereinstimmen.
- die gerade rezertifizierte ID erneut zertifizieren. Danach kamen keine Fehlermeldungen mehr.
- die ID wechselte in den folgenden Jahren mehrfach zu neuem Zertifizierern, ohne dass Probleme auftraten.
Gruß
Wolfgang
--- Ende Zitat ---
Sorry, davon würde ich dringend abraten.
Bei uns wurden mal Personen die einer OU waren mit dem Hauptzertifizierer neu zertifiziert. Das brachte nur Chaos und Ärger, weil die Clients und User.ids das nicht richtig mitbekommen haben und dann ausgelaufen sind. Also deshalb immer so etwas über einen Move Certifier Request machen.
Sag mal habt ihr denn einen Wiederherstellungssicherung eingestellt, wo neue IDs an eine Maildatenbank geschickt werden? Vielleicht ist das ein Weg?
Also als erstes würde ich dir dringend raten einen IDVault zu erstellen bzw erstellen zu lassen.
Wenn es nicht anders geht... würde ich die Prozedure der alten ID komplett neu aufrollen.
Aber das sollte sich wohl besser der Support überlegen, weil das Problem wird seien, wenn Dokumente verschlüsselt sind, wirst du egal bei welchem Weg verschlüsselte Dokumente verlieren.
Außer der Support kann IDs generieren mit bestimmten Informationen generieren.
MFG Michael
Wolfgang:
--- Zitat von: michael-r am 02.10.19 - 16:49:45 ---Sorry, davon würde ich dringend abraten.
Bei uns wurden mal Personen die einer OU waren mit dem Hauptzertifizierer neu zertifiziert. Das brachte nur Chaos und Ärger, weil die Clients und User.ids das nicht richtig mitbekommen haben und dann ausgelaufen sind. Also deshalb immer so etwas über einen Move Certifier Request machen.
Sag mal habt ihr denn einen Wiederherstellungssicherung eingestellt, wo neue IDs an eine Maildatenbank geschickt werden? Vielleicht ist das ein Weg?
--- Ende Zitat ---
… das übliche Rezertifizieren mit Wechsel des Zertifizierers funktioniert bei dem oben geschilderten Szenario normalerweise nicht mehr, wenn der Eintrag im Adressbuch und die Informationen in der ID abweichen.
Das Senden neu erstellter IDs an eine Mail-DB bringt jetzt auch nichts mehr. Es geht ja darum, die verfügbaren veralteten IDs weiter verwenden zu können. Bei einer Rezertifizierung in der Vergangenheit wurden früher -so weit ich mich erinnere- auch keine aktualisierten IDs verschickt. Da dürften dann auch nur die ursprünglichen (veralteten) drin stehen.
Gruß
Wolfgang
Tode:
In einem solchen Fall gibt es eigentlich -ausser neu registrieren- nur einen Weg, um zumindest einen der alten Schlüssel zu behalten (verschlüsselte Mails, die nach dem umzertifizieren verschlüsselt wurden, sind aber sowieso verloren):
Schritt 1:
Der Benutzer (oder irgendjemand mit Zugriff auf ID und zugehöriges Passwort) geht in "Sicherheit - Benutzersicherheit - Ihre Identität - Ihre Zertifikate - Andere Aktionen - Zertifikat (öffentl. Schlüssel) senden od. kopieren
Schritt 2:
Ein Admin nimmt diesen Schlüssel (z.B aus Textdatei) und fügt ihn im Personendokument auf dem "Certifier"- Tab ein und überschreibt den falschen Schlüssel dort.
Schritt 3:
Der Admin passt alle relevanten Felder (Vorname, Nachname, FullName) so an, dass die Angaben darin mit dem Zertifikat übereinstimmen (also alter certifier).
Dadurch ist der User im Adressbuch wieder mit dem User in der ID identisch und kann nun erneut umzertifiziert werden.
That's it...
Sommersprosse:
--- Zitat ---Dadurch ist der User im Adressbuch wieder mit dem User in der ID identisch und kann nun erneut umzertifiziert werden.
That's it...
--- Ende Zitat ---
Guten Morgen Tode,
manchmal kann es so einfach sein... vielen Dank für den Tipp!!
Ich hatte alles auch so schon so gemacht eben nur nicht den Schlüssel kopiert. Kommt definitiv zu meinen FAQ's.
Konnte den User wieder zu einem anderen Zertifizierer schieben, das ist alles was ich wollte.
Danke!
Wollgraeser:
--- Zitat von: Tode am 03.10.19 - 14:11:21 ---In einem solchen Fall gibt es eigentlich -ausser neu registrieren- nur einen Weg...
That's it...
--- Ende Zitat ---
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln