Fehler beim Erneut zertifizieren eines Benutzers

[schroederk]

Hallo,

bei uns ist ein Root-Zertifikat (O=Company) nach 25 Jahren abgelaufen. (Warum das nur für 25 Jahre erstellt wurde, weiß ich nicht. War vor meiner Zeit )
Ich habe das Zertifikat neu zertifiziert und danach auch alle OU-Zertifikate.
Entgegen dem, was ich im Internet gefunden habe, musste ich allerdings auch noch alle User erneut zertifizieren. (Oder ich war zu ungeduldig)
Mit Ausnahme eines einzelnen Users hat das komplett fehlerfrei geklappt.

Bei diesem einen User trat die folgende Fehlermeldung (in der Certlog.nsf):
Der gewählte Zertifizierer ist dem zu aktualisierenden Element nicht übergeordnet

Ich bin mir sicher, dass ich das angezeigte OU-Zertifikat gewählt habe und dieses OU-Zertifkat hat auch bei diversen anderen funktioniert.

Was kann hier der Fehler sein und wie bekomme ich diesen korrigiert?

[DominoDancing]

Hallo K,

meines Wissens nach muss man die Nutzer tatsächlich erneut zertifizieren und offensichtlich war es im letzten Jahrtausend eine Vorgabeeinstellung (oder Empfehlung), die cert.id zeitlich auf 25 Jahre zu begrenzen, weil ich musste letztes Jahr ebenfalls neu zertifizieren.

Vergiss nicht, auch die Server und ID-Vault zu rezertifizieren. Ich denke, der Fehler hat seine Ursachen primär darin, dass der betreffende Nutzer ursprünglich mit einem anderen Zertifizierer zertifiziert wurde als alle anderen.

Wenn bei Euch Verschlüsselungen keine bedeutende Rolle spielen und der betreffende Nutzer auch in der Mailkommunikation keine Verschlüsselungen präferiert, würde ich den Nutzer der Einfachheit halber neu rechnen.

Liebe Grüße
René

[schroederk]

Hallo René,

Vergiss nicht, auch die Server und ID-Vault zu rezertifizieren. Ich denke, der Fehler hat seine Ursachen primär darin, dass der betreffende Nutzer ursprünglich mit einem anderen Zertifizierer zertifiziert wurde als alle anderen.

Die Server und die ID-Vault laufen auf einer anderen (neuen) Cert.id, da passt schon alles

Wenn bei Euch Verschlüsselungen keine bedeutende Rolle spielen und der betreffende Nutzer auch in der Mailkommunikation keine Verschlüsselungen präferiert, würde ich den Nutzer der Einfachheit halber neu rechnen.

Was meinst Du mit "neu rechnen"? Bei "erneut zertifizieren" tritt ja das Problem auf.
Ansonsten fällt mir nur ein, den Benutzer zu löschen, dann neu anzulegen, die alte DB wieder unterzuschieben und anschließend die Zugriffsrechte für die anderen Datenbanken wieder einzutragen.

Ansonsten habe ich bei dem User nachgeschaut:
Zertifikat ausgegeben für, ausgestellt von, Schlüsselbezeichner des Ausstellers und Schlüssel-ID sind mit einem anderen Benutzer komplett identisch.

[DominoDancing]

Hallo K,

ja, mit "neu rechnen" meine ich tatsächlich, das Personendokument zu löschen (nicht per Aktionsschaltfläche 'Person löschen', sondern per 'Entf'- bzw. 'Del'-Taste, dadurch behält man alle Gruppenzugehörigkeiten und Zugriffe) und die Person erneut zu registrieren.

Anschließend kann die bisherige Maildatenbank wieder zugeordnet und die bei der Registrierung neu angelegte Maildatenbank gelöscht werden. Ggf. ist vorher zudem die id-Datei umzubenennen bzw. zu löschen, wenn der Registrierungsvorgang eine gleichnamige id-Datei erzeugen soll.

Liebe Grüße
René

[schroederk]

Vielleicht interessierts den einen oder anderen...

Ich habe es wie folgt lösen können:

- Die ID des Benutzers aus der ID-Vault extrahiert
- Im Admin-Client unter Konfiguration die ID-Eigenschaften gewählt und die extrahierte ID angegeben
- Bei Ihre Zertifikate das Zertifikat des Benutzers ausgewählt und den öffentlichen Schlüssel kopiert
- Im Adressbuch den Benutzer geöffnet und unter Zertifikate den öffentlichen Schlüssel durch den eben kopierten ersetzt
- Sicherheitshalber das Format angepasst (4 Blöcke pro Spalte). Keine Ahnung, ob das notwendig war oder nicht
- Eintrag gespeichert
- Benutzer erneut zertifiziert.

Tadaa 

[JayDee]

Eine Anmerkung zum Ausgangsproblem:

Ich hatte letztes Jahr dieselbe Konstellation (alle Zertifizierer waren im letzten Jahrtausend, als die Domino-Domäne aufgesetzt wurde,  weitsichtig bis 2099 o.ä. ausgestellt worden) nur nicht das Root-Zertifikat, das lief Mitte letzten Jahres ab.
Also wurden root und alle OUs erneut zertifiziert.

Ich habe aber definitiv  keine User-Zertifikate re-zertifizieren müssen, das übernehmen Notes uind Domino dann selbst.

[schroederk]

Ich habe aber definitiv  keine User-Zertifikate re-zertifizieren müssen, das übernehmen Notes uind Domino dann selbst.

Gut zu wissen, wenn es mir auch nicht so wirklich plausibel ist.
Da könnte man eigentlich erwarten, dass sich auch die OUs selbständig re-zertifizieren.
Ich hatte es mit einem User getestet. Ohne Re-Zertifizierung kam die Fehlermeldung noch (fragt sich wie lange es gedauert hätte, bis das User-Zertifikat sich selbstständig erneuert hätte),
nach der manuellen Re-Zertifizierung ging es sofort wieder.