Autor Thema: Ungültige Vaultzertifikatkette  (Gelesen 4302 mal)

Offline Lisa

  • Aktives Mitglied
  • ***
  • Beiträge: 107
Ungültige Vaultzertifikatkette
« am: 02.01.20 - 12:20:31 »
Hallo,

obige Meldung fand ich im lokalen log, nachdem die Zertifizierung eines neuen Mitarbeiters fehlgeschlagen war.
Da nach dem Update von 8 zu 9 (bereits 2018) der CA-Prozess nicht mehr funktionierte und die umstellende Firma das nicht hinbekommen hatte, haben wir wieder mit einer cert.id Benutzer zertifiziert. Wenn der CA-Status abgefragt wird, kommt keine Antwort.

Vor 2 Wochen funktionierte das Rezertifizieren mittels cert.id noch.
"Ungültige Vaultzertifikatkette" finde ich beim Google nicht.
Bei einigen 100 Benutzern war der 31.12.19 als Ablaufdatum für die ID eingetragen, wohl im Zuge des Umstellungsprozesses passiert.
Hat jemand eine Idee, was ich hier tun kann?

Gruß Lisa

P.S
hier der komplette log-Inhalt - ich mach erstmal die cache-Datei leer, das kann doch aber nicht der Grund sein?...
02.01.2020 07:54:28   In Datenbank kann nicht geschrieben werden - Datenbank c:\Program Files (x86)\IBM\Notes\Data\Cache.NDK würde die erlaubte Größe 30720 KB um 768 KB überschreiten.
02.01.2020 08:30:00   FAILOVER_INFO :(DeskSendAsyncFailbackRequest) Send Failback Request to Java, with Server Name and HeadlessDb ID
02.01.2020 08:30:00   FAILOVER_INFO :(DeskSendAsyncFailbackRequest)  server is now available, Failing back to the home server; Error = 0
02.01.2020 11:42:01   Neue Wiederherstellungsinformationen wurden in der ID-Datei für xxx/DE erfolgreich aktualisiert
02.01.2020 11:42:01   ID mit neuen Wiederherstellungsinformationen für xxx xxx/xxx/DE zum Backup markiert
02.01.2020 11:42:03   Authentifizierung bei Server xxx/xx/DE fehlgeschlagen: Ungültige Vaultzertifikatkette. Details finden Sie im Protokoll.
02.01.2020 11:42:03   ID upload to the Notes ID Vault failed.

02.01.2020 11:42:42   Der Registrierungseintrag für 'xxx xxx' muss geändert werden, bevor diese Person registriert werden kann.
02.01.2020 11:43:23   Eine Datei mit dem Maildateinamen dieser Person ist bereits vorhanden. Verwenden Sie einen eindeutigen Namen für die Maildatei dieser Person.
02.01.2020 11:45:43   Eine Datei mit dem Maildateinamen dieser Person ist bereits vorhanden. Verwenden Sie einen eindeutigen Namen für die Maildatei dieser Person.
02.01.2020 11:50:41   Der Registrierungseintrag für 'xxx xxx' muss geändert werden, bevor diese Person registriert werden kann.

Offline Patrick Schneider

  • Aktives Mitglied
  • ***
  • Beiträge: 227
Re: Ungültige Vaultzertifikatkette
« Antwort #1 am: 03.01.20 - 11:24:50 »
Hallo,

es könnte sein, dass eure ID-Vault Zertifikate abgelaufen sind (die sind nur 10 Jahre gültig).
Die Anleitung für die Erneuerung findet sich hier:
https://hclpnpsupport.hcltech.com/kb_view.do?sysparm_article=KB0037905

Viele Grüße,
Patrick

Offline Lisa

  • Aktives Mitglied
  • ***
  • Beiträge: 107
Re: Ungültige Vaultzertifikatkette
« Antwort #2 am: 07.01.20 - 08:08:41 »
Hallo Patrick,
herzlichen Dank für Deinen Hinweis. im Dezember 2009 wurde die Vault beim Wechsel von Notes 6 zu 8 eingerichtet. Genau vor 10 Jahren.
In der IBM Knowledgebase finde ich auf den 1. Blick nichts passendes.
https://www.ibm.com/support/knowledgecenter/search/vault?offset=66&scope=SSKTMJ_10.0.1

HCL nur mit Zugangsdaten... Unser Support lief am 31.10. aus.
Da auch der CA seit der Umstellung auf Notes 9 nicht funktioniert, werde ich mal einen Supporter kontaktieren.

Gruß
Lisa

Offline Patrick Schneider

  • Aktives Mitglied
  • ***
  • Beiträge: 227
Re: Ungültige Vaultzertifikatkette
« Antwort #3 am: 13.01.20 - 21:41:56 »
Hallo Lisa,

kurze Zusammenfassung
Alte Zertifikate sichern + löschen
Bestehende Beziehung erneut aufbauen
Und hier der Text-Teil des KB-Eintrags:

1. Open domino directory(names.nsf) on the administration server or the primary vault  server on which the ID Vault database  is hosted  from Domino Administrator Client .
 
2. Please check certificate expiration date for the ID Vault trust certificate & password reset certificates. If both shows as expired, then follow the below steps else choose the one which is expired.
 
3. Go to Configuration->Security->Certificates-> In this view you will find the "Vault Trust Certificate" & the "Password Reset Certificates".
 
image
 
4. Copy those two documents and back it up (May be you can create a new blank copy of the names.nsf and paste the two documents for back up purpose)
 
5. Proceed to delete those 2 certificates by hitting "delete" key followed by "F9" & "Enter" key.
 
6. Go back to the View  Configuration->Security->ID Vaults-> From the right hand side  panel please click on the "Manage" button to run the ID Vault Wizard.
 
image
 
7. Click next and select "Add or remove organizations that trust the certificate" & "Add or remove password reset authorities" and  again click  on next.
 
image
 
8. Add the Trusted Vault Organization(Certifier) with which it was trusted earlier:
 
image
 
9. Proceed to add the "Password Reset Authority" Id's to it.
 
image
 
10. Below window will pop up and you need to proceed by hitting the "Configure" Button.
 
image
 
11. Configuration process  will ask you to select the certifier id which is used to trust the vault. You have to select  the certifier and provide the password.
 
image
 
12. Post giving the certifier password the Vault wizard configuration will complete with a display message as below:
 
image
 
13. Go back  to the names.nsf and look at the Configuration->Security->Certificates . You will see the newly  created cross certificate entries,  which were removed in the first step. Those new certificate entries will have a new expiration date  set for next 10 Years.
 
image
 
Notes:
- Ensure to check what is your Vault trust certifier and you have the corresponding certifier Id & password available to execute the mentioned action.
- Ensure to list out the current Password Reset Authorities , since the  renewal process  will ask you to to re-add them again.

Viele Grüße,
Patrick

Offline Lisa

  • Aktives Mitglied
  • ***
  • Beiträge: 107
Re: Ungültige Vaultzertifikatkette
« Antwort #4 am: 03.02.20 - 12:39:12 »
Hallo Patrick,
herzlichen Dank für die Anleitung!

Die tresor.id war nicht abgelaufen.
Der CA-Prozess ist neu eingerichtet und funktioniert nun wieder, aber auch mit dem CA neu angelegte Benutzer landen nicht in der Vault und auch die Rezertifizierungen sowie Umbenennungen bringen einen Fehler.

Die Fehlermeldung bei Verwendung des CA-Prozesses ist eine andere. Möglicherweise bedeutet sie dasselbe?

Errorlog
Title: Adreßbuch von xxx Path: names.nsf; Error: Document has been modified or corrupted since signed! (signature)

bzw. in verschiedene Ereignisse
01/30/2020 11:09:44 AM  Error processing certificate created by /XXX/DE for Testbenutzer/XXX/DE: The signature on the certificate was found to be invalid. Check the log file for details.
01/30/2020 11:09:44 AM  Admin Process: Received the following error performing a Recertify Person in Domino Directory request on Testbenutzer (Path: names.nsf): The signature on the certificate was found to be invalid.  Check the log file for details.

Möglicherweise ist die Vorgehensweise die gleiche wir in Deiner Anleitung?

Gruß Lisa
« Letzte Änderung: 03.02.20 - 13:40:00 von Lisa »

Offline Lisa

  • Aktives Mitglied
  • ***
  • Beiträge: 107
Re: Ungültige Vaultzertifikatkette
« Antwort #5 am: 10.03.20 - 10:03:21 »
Guten Morgen,
die Vault ist wieder funktionsfähig, nachdem sie mittels obiger Anleitung erneuert wurde.
Unter Verwendung der cert.id können wieder neue Benutzer angelegt und zertifiziert werden.
Der CA-Prozess wurde neu eingerichtet und lässt sich wieder verwenden. Jedoch gibt es ein Problem, wenn z.B. Benutzer rezertifiziert werden sollen. Neuanlage von Benutzern mittels CA habe ich noch nicht probiert,
Title: Adreßbuch von XXX Path: names.nsf; Error: The signature on the certificate was found to be invalid.  Check the log file for details.
Im Log finde ich die gleiche Meldung.

https://atnotes.de/index.php?topic=22877.0;wap2
und
https://www.ibm.com/support/knowledgecenter/beta/tr/SSKTWP_9.0.1/err_server_err_signa_invalid_r.html
helfen mir nicht viel weiter, weil ich die Antworten nicht verstehe bzw. nicht weiß, was ich tun muss, denn der Kontext ist ein anderer.
Hat jemand einen Rat für mich?
Gruß Lisa

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz