HCL Notes / Domino / Diverses > Administration & Userprobleme
Fehler beim Erneut zertifizieren eines Benutzers
schroederk:
Hallo,
bei uns ist ein Root-Zertifikat (O=Company) nach 25 Jahren abgelaufen. (Warum das nur für 25 Jahre erstellt wurde, weiß ich nicht. War vor meiner Zeit ;) )
Ich habe das Zertifikat neu zertifiziert und danach auch alle OU-Zertifikate.
Entgegen dem, was ich im Internet gefunden habe, musste ich allerdings auch noch alle User erneut zertifizieren. (Oder ich war zu ungeduldig)
Mit Ausnahme eines einzelnen Users hat das komplett fehlerfrei geklappt.
Bei diesem einen User trat die folgende Fehlermeldung (in der Certlog.nsf):
Der gewählte Zertifizierer ist dem zu aktualisierenden Element nicht übergeordnet
Ich bin mir sicher, dass ich das angezeigte OU-Zertifikat gewählt habe und dieses OU-Zertifkat hat auch bei diversen anderen funktioniert.
Was kann hier der Fehler sein und wie bekomme ich diesen korrigiert?
DominoDancing:
Hallo K,
meines Wissens nach muss man die Nutzer tatsächlich erneut zertifizieren und offensichtlich war es im letzten Jahrtausend eine Vorgabeeinstellung (oder Empfehlung), die cert.id zeitlich auf 25 Jahre zu begrenzen, weil ich musste letztes Jahr ebenfalls neu zertifizieren.
Vergiss nicht, auch die Server und ID-Vault zu rezertifizieren. Ich denke, der Fehler hat seine Ursachen primär darin, dass der betreffende Nutzer ursprünglich mit einem anderen Zertifizierer zertifiziert wurde als alle anderen.
Wenn bei Euch Verschlüsselungen keine bedeutende Rolle spielen und der betreffende Nutzer auch in der Mailkommunikation keine Verschlüsselungen präferiert, würde ich den Nutzer der Einfachheit halber neu rechnen.
Liebe Grüße
René
schroederk:
Hallo René,
--- Zitat von: DominoDancing am 22.02.23 - 09:15:08 ---Vergiss nicht, auch die Server und ID-Vault zu rezertifizieren. Ich denke, der Fehler hat seine Ursachen primär darin, dass der betreffende Nutzer ursprünglich mit einem anderen Zertifizierer zertifiziert wurde als alle anderen.
--- Ende Zitat ---
Die Server und die ID-Vault laufen auf einer anderen (neuen) Cert.id, da passt schon alles
--- Zitat von: DominoDancing am 22.02.23 - 09:15:08 ---Wenn bei Euch Verschlüsselungen keine bedeutende Rolle spielen und der betreffende Nutzer auch in der Mailkommunikation keine Verschlüsselungen präferiert, würde ich den Nutzer der Einfachheit halber neu rechnen.
--- Ende Zitat ---
Was meinst Du mit "neu rechnen"? Bei "erneut zertifizieren" tritt ja das Problem auf.
Ansonsten fällt mir nur ein, den Benutzer zu löschen, dann neu anzulegen, die alte DB wieder unterzuschieben und anschließend die Zugriffsrechte für die anderen Datenbanken wieder einzutragen.
Ansonsten habe ich bei dem User nachgeschaut:
Zertifikat ausgegeben für, ausgestellt von, Schlüsselbezeichner des Ausstellers und Schlüssel-ID sind mit einem anderen Benutzer komplett identisch.
DominoDancing:
Hallo K,
ja, mit "neu rechnen" meine ich tatsächlich, das Personendokument zu löschen (nicht per Aktionsschaltfläche 'Person löschen', sondern per 'Entf'- bzw. 'Del'-Taste, dadurch behält man alle Gruppenzugehörigkeiten und Zugriffe) und die Person erneut zu registrieren.
Anschließend kann die bisherige Maildatenbank wieder zugeordnet und die bei der Registrierung neu angelegte Maildatenbank gelöscht werden. Ggf. ist vorher zudem die id-Datei umzubenennen bzw. zu löschen, wenn der Registrierungsvorgang eine gleichnamige id-Datei erzeugen soll.
Liebe Grüße
René
schroederk:
Vielleicht interessierts den einen oder anderen...
Ich habe es wie folgt lösen können:
- Die ID des Benutzers aus der ID-Vault extrahiert
- Im Admin-Client unter Konfiguration die ID-Eigenschaften gewählt und die extrahierte ID angegeben
- Bei Ihre Zertifikate das Zertifikat des Benutzers ausgewählt und den öffentlichen Schlüssel kopiert
- Im Adressbuch den Benutzer geöffnet und unter Zertifikate den öffentlichen Schlüssel durch den eben kopierten ersetzt
- Sicherheitshalber das Format angepasst (4 Blöcke pro Spalte). Keine Ahnung, ob das notwendig war oder nicht
- Eintrag gespeichert
- Benutzer erneut zertifiziert.
Tadaa 8) :D
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln