Autor Thema: Fehler beim Erneut zertifizieren eines Benutzers  (Gelesen 758 mal)

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Fehler beim Erneut zertifizieren eines Benutzers
« am: 22.02.23 - 09:00:15 »
Hallo,

bei uns ist ein Root-Zertifikat (O=Company) nach 25 Jahren abgelaufen. (Warum das nur für 25 Jahre erstellt wurde, weiß ich nicht. War vor meiner Zeit ;) )
Ich habe das Zertifikat neu zertifiziert und danach auch alle OU-Zertifikate.
Entgegen dem, was ich im Internet gefunden habe, musste ich allerdings auch noch alle User erneut zertifizieren. (Oder ich war zu ungeduldig)
Mit Ausnahme eines einzelnen Users hat das komplett fehlerfrei geklappt.

Bei diesem einen User trat die folgende Fehlermeldung (in der Certlog.nsf):
Der gewählte Zertifizierer ist dem zu aktualisierenden Element nicht übergeordnet

Ich bin mir sicher, dass ich das angezeigte OU-Zertifikat gewählt habe und dieses OU-Zertifkat hat auch bei diversen anderen funktioniert.

Was kann hier der Fehler sein und wie bekomme ich diesen korrigiert?
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline DominoDancing

  • Aktives Mitglied
  • ***
  • Beiträge: 141
  • Geschlecht: Männlich
  • Kugel im Käfig, lsmf, hurz ...
Antw:Fehler beim Erneut zertifizieren eines Benutzers
« Antwort #1 am: 22.02.23 - 09:15:08 »
Hallo K,

meines Wissens nach muss man die Nutzer tatsächlich erneut zertifizieren und offensichtlich war es im letzten Jahrtausend eine Vorgabeeinstellung (oder Empfehlung), die cert.id zeitlich auf 25 Jahre zu begrenzen, weil ich musste letztes Jahr ebenfalls neu zertifizieren.

Vergiss nicht, auch die Server und ID-Vault zu rezertifizieren. Ich denke, der Fehler hat seine Ursachen primär darin, dass der betreffende Nutzer ursprünglich mit einem anderen Zertifizierer zertifiziert wurde als alle anderen.

Wenn bei Euch Verschlüsselungen keine bedeutende Rolle spielen und der betreffende Nutzer auch in der Mailkommunikation keine Verschlüsselungen präferiert, würde ich den Nutzer der Einfachheit halber neu rechnen.

Liebe Grüße
René
... ich fühl' mich so ... Regenbogen ... ;D
... man muss die Ursache des Problems finden ... oder eine Tüte Glitzerfeenstaub ...
... Ich bin rhythm, I'm a dancer und I don't like Influenzer ...

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Antw:Fehler beim Erneut zertifizieren eines Benutzers
« Antwort #2 am: 22.02.23 - 11:49:44 »
Hallo René,

Vergiss nicht, auch die Server und ID-Vault zu rezertifizieren. Ich denke, der Fehler hat seine Ursachen primär darin, dass der betreffende Nutzer ursprünglich mit einem anderen Zertifizierer zertifiziert wurde als alle anderen.
Die Server und die ID-Vault laufen auf einer anderen (neuen) Cert.id, da passt schon alles

Wenn bei Euch Verschlüsselungen keine bedeutende Rolle spielen und der betreffende Nutzer auch in der Mailkommunikation keine Verschlüsselungen präferiert, würde ich den Nutzer der Einfachheit halber neu rechnen.

Was meinst Du mit "neu rechnen"? Bei "erneut zertifizieren" tritt ja das Problem auf.
Ansonsten fällt mir nur ein, den Benutzer zu löschen, dann neu anzulegen, die alte DB wieder unterzuschieben und anschließend die Zugriffsrechte für die anderen Datenbanken wieder einzutragen.

Ansonsten habe ich bei dem User nachgeschaut:
Zertifikat ausgegeben für, ausgestellt von, Schlüsselbezeichner des Ausstellers und Schlüssel-ID sind mit einem anderen Benutzer komplett identisch.

« Letzte Änderung: 22.02.23 - 11:52:00 von schroederk »
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline DominoDancing

  • Aktives Mitglied
  • ***
  • Beiträge: 141
  • Geschlecht: Männlich
  • Kugel im Käfig, lsmf, hurz ...
Antw:Fehler beim Erneut zertifizieren eines Benutzers
« Antwort #3 am: 22.02.23 - 11:59:41 »
Hallo K,

ja, mit "neu rechnen" meine ich tatsächlich, das Personendokument zu löschen (nicht per Aktionsschaltfläche 'Person löschen', sondern per 'Entf'- bzw. 'Del'-Taste, dadurch behält man alle Gruppenzugehörigkeiten und Zugriffe) und die Person erneut zu registrieren.

Anschließend kann die bisherige Maildatenbank wieder zugeordnet und die bei der Registrierung neu angelegte Maildatenbank gelöscht werden. Ggf. ist vorher zudem die id-Datei umzubenennen bzw. zu löschen, wenn der Registrierungsvorgang eine gleichnamige id-Datei erzeugen soll.

Liebe Grüße
René
... ich fühl' mich so ... Regenbogen ... ;D
... man muss die Ursache des Problems finden ... oder eine Tüte Glitzerfeenstaub ...
... Ich bin rhythm, I'm a dancer und I don't like Influenzer ...

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Antw:Fehler beim Erneut zertifizieren eines Benutzers
« Antwort #4 am: 24.02.23 - 10:16:57 »
Vielleicht interessierts den einen oder anderen...

Ich habe es wie folgt lösen können:

- Die ID des Benutzers aus der ID-Vault extrahiert
- Im Admin-Client unter Konfiguration die ID-Eigenschaften gewählt und die extrahierte ID angegeben
- Bei Ihre Zertifikate das Zertifikat des Benutzers ausgewählt und den öffentlichen Schlüssel kopiert
- Im Adressbuch den Benutzer geöffnet und unter Zertifikate den öffentlichen Schlüssel durch den eben kopierten ersetzt
- Sicherheitshalber das Format angepasst (4 Blöcke pro Spalte). Keine Ahnung, ob das notwendig war oder nicht
- Eintrag gespeichert
- Benutzer erneut zertifiziert.

Tadaa  8) :D

Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline JayDee

  • Senior Mitglied
  • ****
  • Beiträge: 417
Antw:Fehler beim Erneut zertifizieren eines Benutzers
« Antwort #5 am: 24.02.23 - 10:58:12 »
Eine Anmerkung zum Ausgangsproblem:

Ich hatte letztes Jahr dieselbe Konstellation (alle Zertifizierer waren im letzten Jahrtausend, als die Domino-Domäne aufgesetzt wurde,  weitsichtig bis 2099 o.ä. ausgestellt worden) nur nicht das Root-Zertifikat, das lief Mitte letzten Jahres ab.
Also wurden root und alle OUs erneut zertifiziert.

Ich habe aber definitiv  keine User-Zertifikate re-zertifizieren müssen, das übernehmen Notes uind Domino dann selbst.
MfG,
Thomas

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Antw:Fehler beim Erneut zertifizieren eines Benutzers
« Antwort #6 am: 24.02.23 - 13:43:07 »
Ich habe aber definitiv  keine User-Zertifikate re-zertifizieren müssen, das übernehmen Notes uind Domino dann selbst.

Gut zu wissen, wenn es mir auch nicht so wirklich plausibel ist.
Da könnte man eigentlich erwarten, dass sich auch die OUs selbständig re-zertifizieren.
Ich hatte es mit einem User getestet. Ohne Re-Zertifizierung kam die Fehlermeldung noch (fragt sich wie lange es gedauert hätte, bis das User-Zertifikat sich selbstständig erneuert hätte),
nach der manuellen Re-Zertifizierung ging es sofort wieder.
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz