Autor Thema: ID neu zertifizieren  (Gelesen 4381 mal)

Offline Sommersprosse

  • Senior Mitglied
  • ****
  • Beiträge: 296
  • Geschlecht: Weiblich
ID neu zertifizieren
« am: 02.10.19 - 14:53:38 »
Hallo Forumsgemeinde,

ich habe hier Probleme mit einigen Usern, die schon einmal zu einer neuen OU zertifiziert worden sind...

Folgendes Problem...
Wir haben für einen neuen Standort ca. 100 Personen zu einem neuen Zertifizierer migriert. Das hat alles auch problemlos funktioniert.
Die ursprünglich erstellte ID mit dem alten ursprünglichen Zertifikat haben wir auf unserem Netzwerk gesichert, nicht jedoch die, die mit dem neuen Zertifikat versehen ist.  
Dazu kommt noch, das wir den alten Zertifizierer nur übernommen haben und die Anfragen / Erneuerungen an einen Account gehen den wir nicht im Zugriff haben.

Jetzt ist folgendes passiert, das die PCs teilweise neu installiert worden sind, und die neue ID weg ist, wir nur die alte verwenden können. Hier passen natürlich die Namen dann nicht mehr in der ACl etc...
Ich habe versucht diese User im globalen Adressbuch umzubenennen und dann erneut zu rezertifizieren, aber dann scheitert das ganze mit der Fehlermeldung im Cert.log,"Der gewählte Zertifizierer ist dem zu aktualisierenden Element nicht übergeordnet".
Wir haben auch leider keinen ID Vault im Einsatz weil uns in unserer globalen Domäne die Rechte dazu fehlen...

Hat irgendjemand eine Idee wie ich den User wieder in die richtige OU bekomme außer Ihn zu löschen und neu zu erstellen=

Wir haben Domino 9.0.1 FP9 im Einsatz..
« Letzte Änderung: 07.10.19 - 08:46:35 von sommersprosse »
Gruß Ulli

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: ID neu zertifizieren
« Antwort #1 am: 02.10.19 - 15:21:23 »
Ihr habt hoffentlich seit mehreren Jahren die ID Vault im Einsatz und braucht deshalb die ID nicht sichern... da sollten alle aktuellen User-IDs enthalten sein.
Grüsse,
Thorsten

Offline Wolfgang

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.412
    • Mit dem Fahrrad durch Wüste, Regenwald und Arktis ...
Re: ID neu zertifizieren
« Antwort #2 am: 02.10.19 - 15:27:03 »
… ich habe das damals in einem solchen Fall wie folgt gemacht und notiert, weiß aber nicht, ob das noch so funktioniert und ob es einen besseren Weg gibt:

- alte ID mit neuem Zertifizierer zertifizieren.

- Fehlermeldung erscheint, die besagt, dass der betreffende Eintrag im Adressbuch nicht gefunden wird mit der Frage, ob die ID dennoch zertifiziert werden soll. Diese Abfrage bestätigen.
 
- bei der ersten Anmeldung mit dieser ID erscheint eine Fehlermeldung mit dem Hinweis, dass die Zertifikate in ID und Personendokument nicht übereinstimmen.

- die gerade rezertifizierte ID erneut zertifizieren. Danach kamen keine Fehlermeldungen mehr.

- die ID wechselte in den folgenden Jahren mehrfach zu neuem Zertifizierern, ohne dass Probleme auftraten.

Gruß
Wolfgang

Offline Wolfgang

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.412
    • Mit dem Fahrrad durch Wüste, Regenwald und Arktis ...
Re: ID neu zertifizieren
« Antwort #3 am: 02.10.19 - 15:28:10 »
Ihr habt hoffentlich seit mehreren Jahren die ID Vault im Einsatz und braucht deshalb die ID nicht sichern... da sollten alle aktuellen User-IDs enthalten sein.

… steht im Ursprungsposting, dass kein ID-Vault im Einsatz ist ...

Offline Sommersprosse

  • Senior Mitglied
  • ****
  • Beiträge: 296
  • Geschlecht: Weiblich
Re: ID neu zertifizieren
« Antwort #4 am: 02.10.19 - 15:43:54 »
Hallo Wolfgang,

auf die Idee wäre ich jetzt nicht gekommen, aber ich teste das, sag Bescheid ob es funktioniert hat.

Danke schon mal
Gruß Ulli

Offline michael-r

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.768
Re: ID neu zertifizieren
« Antwort #5 am: 02.10.19 - 16:49:45 »
… ich habe das damals in einem solchen Fall wie folgt gemacht und notiert, weiß aber nicht, ob das noch so funktioniert und ob es einen besseren Weg gibt:

- alte ID mit neuem Zertifizierer zertifizieren.

- Fehlermeldung erscheint, die besagt, dass der betreffende Eintrag im Adressbuch nicht gefunden wird mit der Frage, ob die ID dennoch zertifiziert werden soll. Diese Abfrage bestätigen.
 
- bei der ersten Anmeldung mit dieser ID erscheint eine Fehlermeldung mit dem Hinweis, dass die Zertifikate in ID und Personendokument nicht übereinstimmen.

- die gerade rezertifizierte ID erneut zertifizieren. Danach kamen keine Fehlermeldungen mehr.

- die ID wechselte in den folgenden Jahren mehrfach zu neuem Zertifizierern, ohne dass Probleme auftraten.

Gruß
Wolfgang

Sorry, davon würde ich dringend abraten.
Bei uns wurden mal Personen die einer OU waren mit dem Hauptzertifizierer neu zertifiziert. Das brachte nur Chaos und Ärger, weil die Clients und User.ids das nicht richtig mitbekommen haben und dann ausgelaufen sind. Also deshalb immer so etwas über einen Move Certifier Request machen.

Sag mal habt ihr denn einen Wiederherstellungssicherung eingestellt, wo neue IDs an eine Maildatenbank geschickt werden? Vielleicht ist das ein Weg?

Also als erstes würde ich dir dringend raten einen IDVault zu erstellen bzw erstellen zu lassen.

Wenn es nicht anders geht... würde ich die Prozedure der alten ID komplett neu aufrollen.
Aber das sollte sich wohl besser der Support überlegen, weil das Problem wird seien, wenn Dokumente verschlüsselt sind, wirst du egal bei welchem Weg verschlüsselte Dokumente verlieren.
Außer der Support kann IDs generieren mit bestimmten Informationen generieren.

MFG Michael


Offline Wolfgang

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.412
    • Mit dem Fahrrad durch Wüste, Regenwald und Arktis ...
Re: ID neu zertifizieren
« Antwort #6 am: 02.10.19 - 17:06:04 »
Sorry, davon würde ich dringend abraten.
Bei uns wurden mal Personen die einer OU waren mit dem Hauptzertifizierer neu zertifiziert. Das brachte nur Chaos und Ärger, weil die Clients und User.ids das nicht richtig mitbekommen haben und dann ausgelaufen sind. Also deshalb immer so etwas über einen Move Certifier Request machen.

Sag mal habt ihr denn einen Wiederherstellungssicherung eingestellt, wo neue IDs an eine Maildatenbank geschickt werden? Vielleicht ist das ein Weg?

… das übliche Rezertifizieren mit Wechsel des Zertifizierers funktioniert bei dem oben geschilderten Szenario normalerweise nicht mehr, wenn der Eintrag im Adressbuch und die Informationen in der ID abweichen.

Das Senden neu erstellter IDs an eine Mail-DB bringt jetzt auch nichts mehr. Es geht ja darum, die verfügbaren veralteten IDs weiter verwenden zu können. Bei einer Rezertifizierung in der Vergangenheit wurden früher -so weit ich mich erinnere- auch keine aktualisierten IDs verschickt. Da dürften dann auch nur die ursprünglichen (veralteten) drin stehen.

Gruß
Wolfgang

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: ID neu zertifizieren
« Antwort #7 am: 03.10.19 - 14:11:21 »
In einem solchen Fall gibt es eigentlich -ausser neu registrieren- nur einen Weg, um zumindest einen der alten Schlüssel zu behalten (verschlüsselte Mails, die nach dem umzertifizieren verschlüsselt wurden, sind aber sowieso verloren):

Schritt 1:
Der Benutzer (oder irgendjemand mit Zugriff auf ID und zugehöriges Passwort) geht in "Sicherheit - Benutzersicherheit - Ihre Identität - Ihre Zertifikate - Andere Aktionen - Zertifikat (öffentl. Schlüssel) senden od. kopieren

Schritt 2:
Ein Admin nimmt diesen Schlüssel (z.B aus Textdatei) und fügt ihn im Personendokument auf dem "Certifier"- Tab ein und überschreibt den falschen Schlüssel dort.

Schritt 3:
Der Admin passt alle relevanten Felder (Vorname, Nachname, FullName) so an, dass die Angaben darin mit dem Zertifikat übereinstimmen (also alter certifier).

Dadurch ist der User im Adressbuch wieder mit dem User in der ID identisch und kann nun erneut umzertifiziert werden.

That's it...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Sommersprosse

  • Senior Mitglied
  • ****
  • Beiträge: 296
  • Geschlecht: Weiblich
Re: ID neu zertifizieren
« Antwort #8 am: 07.10.19 - 08:46:24 »
Zitat
Dadurch ist der User im Adressbuch wieder mit dem User in der ID identisch und kann nun erneut umzertifiziert werden.

That's it...

Guten Morgen Tode,

manchmal kann es so einfach sein... vielen Dank für den Tipp!!
Ich hatte alles auch so schon so gemacht eben nur nicht den Schlüssel kopiert. Kommt definitiv zu meinen FAQ's.

Konnte den User wieder zu einem anderen Zertifizierer schieben, das ist alles was ich wollte.
Danke!
Gruß Ulli

Offline Wollgraeser

  • Frischling
  • *
  • Beiträge: 10
  • Geschlecht: Männlich
Re: ID neu zertifizieren
« Antwort #9 am: 05.11.19 - 10:10:43 »
In einem solchen Fall gibt es eigentlich -ausser neu registrieren- nur einen Weg...

That's it...
Wo lassen Sie denken?

Offline Wollgraeser

  • Frischling
  • *
  • Beiträge: 10
  • Geschlecht: Männlich
Re: ID neu zertifizieren
« Antwort #10 am: 05.11.19 - 10:16:49 »
...da habe ich meine Frage vergessen:

Ich habe Release 9.0.1FP2 SHF184 als Einzelplatzanwendung und meine Benutzer ID läuft am 18.11.2019 ab. - Ich habe daher keine Verbindung zu einem anderen home oder Domino Server.

Wie kann ich meine ID selber verlängern bzw. dann wieder neu aktivieren.  - Hatte die Situation bereits vor 2 Jahren, kann mich aber nicht erinnern, wie das ging.

Vielen Dank für die Mithilfe

Herzliche Grüße aus Norddeutschland
wollgraeser
Wo lassen Sie denken?

Offline DomAdm

  • Senior Mitglied
  • ****
  • Beiträge: 359
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Jacob

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz