Rezertifizierung der Zertifizierer

[MRA]

Hallo zusammen,

Die Benutzer bekommen die Meldung ( Mindestens ein Zertifikat einer Zertifizierungsstelle Ihrer Notes-Benutzer-ID läuft ab. Dieses Problem erfordert administrative Änderungen ..... )

Ich habe gestern den cert.id des Unternehmens rezertifiziert. Reicht das schon? Werden die User-IDs automatisch aktualisiert? Was muss noch gemacht werden, damit die Benutzer diese Meldung nicht mehr bekommen?

Vielen Dank für eure Tipps.
VG
MRA

[Tode]

Stell Dir die Schlüssel als DNA der IDs vor.

Du hast eine Mutter (cert.id), und die bekommt ein Kind (User.id). Mittels DNA- Test kannst Du jederzeit nachweisen, dass das Kind zur Mutter gehört: Du kannst die "Echtheit" des Kindes mittels DNA- Test überprüfen, weil das Kind DNA- Teile von der Mutter geerbt hat.

Jetzt wird das Kind von einer neuen Mutter (=andere DNA, entspricht anderer Schlüssel) adoptiert...

Dummerweise kannst Du jetzt nicht mehr nachprüfen, ob das Kind wirklich zu der Mutter gehört, denn der DNA- Test schlägt fehl.

Und genauso ist es mit User- IDs, Server- IDs, Unterzertifizierern, etc.: Die Verifizierung der Schlüssel schlägt fehl, sobald Domino die Identität der alten Mutter vergessen hat (der alte Schlüssel bleibt noch eine Weile erhalten).

Nur im Gegensatz zu uns Menschen kann man IDs eine neue DNA verpassen, indem man sie rezertifiziert.

Long Story short: Du musst, wenn Du den Zertifizierer "neu" machst, auch ALLE davon Abhängigen anderen IDs mit dem neuen Schlüssel rezertifizieren. Dafür hast Du -wenn ich mich recht erinnere- 90 Tage Zeit, so lange bleibt der alte Schlüssel im certifier bestehen.

Wichtig: Hast Du OUs, an denen die User hängen, dann musst Du natürlich zuerst die OUs rezertifizieren, bevor Du mit diesen dann die User neu zertifizierst.

Die Server musst Du dabei manuell machen und die IDs auf den Servern austauschen.

Und vergiss nicht alle Querzertifizierungen, ID Vault Zertifikate, CA- files, etc. Die musst Du auch alle neu machen.

[MRA]

Hallo Thorsten,
vielen Dank für deine Antwort.
Der Zertifizierer ist ja nicht neu sondern der Bestehende mit einem erweitertem Ablaufdatum.

Ich habe die IDs einiger User, die Gesten die Meldung gemeldet hatten, geprüft. Das Ablaufdatum des Zertifizierers ist schon automatisch aktualisierworden.

Also im Domino Administrator > ID_Properties . Reicht das nicht aus? Eine Neuzertifizierung aller Benutzer, Server und sogar Querzertifizierungen manuell ?

Ohje :-(

[Pfefferminz-T]

Kommt drauf an, wir kennen ja eure Struktur nicht. Generell muss "von oben nach weiter unten" rezertifiziert werden.
Bsp.

/acme
/srv/acme
/user/acme
/DE/user/acme
/CH/user/acme

Nach der Verlängerung von /acme müssen die OUs /srv/acme und /user/acme rezertifiziert werden, dann mit der /user/acme die /DE und die /CH... usw.

Anwender unter /DE/user/acme werden dann automatisch rezertifiziert, wenn Du deren OU rezertifiziert hast. Die Änderung wird dann automatisch in die User-ID übernommen.

Server unter /srv/acme können mit der Option "Recertify selected servers" im Domino Directory rezertifiziert werden. Dadurch wird die Änderung in die ServerID geschrieben und danach würde ich sicherheitshalber die rezertifizierte ID vom Server sichern.

t werden.
Die User werden dann automatisch rezertifiziert

[michael-r]

Ich muss hier leider etwas wiedersprechen, also es müssen nicht alle Server und User neu zertifiziert werden.

Server IDs laufen in der Regel 100 Jahre.
Man kann eine User.id auch länger zertifizieren als der Zertifizierer läuft, sollte der Zertifizier auslaufen, dann würde der Benutzer auch nur bis zur Laufzeit der Benutzer einloggen können.

Ich habe bei dem letzten Neuzertifizierung gleich alle Zertifier (entsprechend der Hierarchie) neu zertifiiziert, einen Test user verifiziert, dass die Gültigkeit noch gegeben ist.
Ist nicht das erste mal, und damals kam bei den Usern auch nichts hoch. Und wenn doch dann zertifiziert man bei dennen die sich melden neu.

Es kann natürlich sein, wenn das User Zertifikat abläuft oder der Zertifier abgelaufen war, das man dann etwas mehr machen muss.

MFG Michael

[Pfefferminz-T]

Wenn der Zertifizierer der O ein kürzeres Datum hat, dann steht dieser Wert in allen abgeleiteten OUs, User- und Server-IDs. Und wenn der nicht in den abgeleiteten IDs verlängert wird, dann ist Ende Gelände auch wenn z.Bsp. eine Server-ID und die dazugehörige Cert-ID 100 Jahre gültig ist.

Weiter unten hatte ich ja auch geschrieben, dass in erster Linie alle OUs rezertifiziert werden müssen und alle Server-IDs. Bei den Usern erfolgt die Rezeritifizierung dann automatisch sofern die dazugehörige OU-Hierarchie rezertifiziert wurde.