Autor Thema: Probleme beim Keyrollover  (Gelesen 735 mal)

Offline Colibri

  • Aktives Mitglied
  • ***
  • Beiträge: 218
  • Hmmm .... lecker Vogel!
Probleme beim Keyrollover
« am: 07.09.23 - 14:03:45 »
Hallo Forum,

ich führe aktuell einen Key Rollover in unserer Domino Umgebung durch. Zertifizierungsstelle und Server sind durch, aktuell laufen die Benutzer, VAULT ist vorhanden.

Bei einigen Benutzer, die von Anfang an einen 2048 Bit Schlüssel hatten, will das System einen Rollover auf 1024 Bit durchführen. Wahrscheinlich gab es, als ich den Rollover auf die Zertifizierungsstelle durchgeführt habe, noch eine Sicherheitseinstellung mit Höchststärke 1024 Bit. Diese ist zwar mittlerweile korrigiert, jedoch taucht der Rollover für diese Benutzer immer wieder auf. Ich habe bereits die Anforderung aus der admin4 gelöscht und die zur Zertifizierung ausstehende Zertifikate aus der ID gelöscht, trotzdem taucht die Rolloveranforderung nach einer gewissen Zeit wieder auf und die Zertifikate mit dem 1024 Bit Schlüssel stehen wieder in der ID zur Zertifizierung. Weiß jemand von was genau das ausgelöst wird und ob man das manuell stoppen kann?

Bei einer weiteren Handvoll Benutzer habe ich das Problem, dass der Rollover laut Server eigentlich abgeschlossen ist. Der öffentliche Schlüssel im Personendokument hat 2048 Bit, in der ID Datei jedoch wurden die Zertifikate nicht ausgetauscht. Diese Benutzer erscheinen immer mal wieder im Serverlog mit der Meldung, dass der öffentliche Schlüssel im Personendokument nicht mit dem Schlüssel in der Notes ID übereinstimmt. Vermutlich habe ich bei diesen Benutzern eine erneute Zertifizierung durchgeführt (damit das Zertifikat der Zertifizierungsstelle getauscht wird), bevor der Rollover vollständig abgeschlossen war. Hat jemand eine Idee wie man den Zertifikatstausch für die ID manuell durchführen kann?

Danke und Gruß
Dietmar

Offline CarstenH

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 672
  • Geschlecht: Männlich
Antw:Probleme beim Keyrollover
« Antwort #1 am: 07.09.23 - 20:22:51 »
Der einfachste Weg, wenn ID und Personendokument nicht mehr übereinstimmen ist: man löscht alle ausstehenden Requests in der admin4, macht die Schlüssel wieder übereinstimmend (Copy und Paste des Pup Keys aus der ID ins Personendokument) und setzt da dann erneut auf mit allen ausstehenden Änderungen.

HTH
Carsten


Offline Colibri

  • Aktives Mitglied
  • ***
  • Beiträge: 218
  • Hmmm .... lecker Vogel!
Antw:Probleme beim Keyrollover
« Antwort #2 am: 08.09.23 - 09:06:28 »
Das hab ich bei einem Benutzer gemacht. Hat leider (bei uns jedenfalls) den unschönen Nebeneffekt, dass wenn man diesem Benutzer eine verschlüsselte Email sendet, Notes den öffentlichen Schlüssel aus dem Personendokument der letzten Kontakte holt und der Empfänger die Email somit nicht entschlüsseln kann. Hierfür habe ich zwar mittlerweile ein kleines Script programmiert, welches alle Dokumente von internen Mitarbeiter aus den letzten Kontakten löscht, aber das musst halt verteilen und der Bentuzer muss drauf klicken...aber das ist ein anderes Thema.

Was mich an der ganzen Sache einfach noch verwirrt, ist die Ansicht "Key Rollver" in der ID Vault, keine Ahnung seit wann es die gibt, bei Domino 9 jedenfalls noch nicht.
In der sieht man jedenfalls die Schlüsselstärke. Aber anscheinend nicht die, welche die ID Momentan hat, sondern die .... gewünschte???? Keine Ahnung. Da steht bei meinen Problemfällen jedenfalls Mist drin, zum Teil 0. Die Rolloverkandidaten die er auf 1024 zurück Stufen will, stehen unter Pending mit der Strenght 1024, obwohl alle Adminanforderungen gelöscht sind und der Schlüssel aktuell 2048 hat.

Weis jemand wo es sich das her holt?

Offline CarstenH

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 672
  • Geschlecht: Männlich
Antw:Probleme beim Keyrollover
« Antwort #3 am: 12.09.23 - 13:33:05 »
Was mich an der ganzen Sache einfach noch verwirrt, ist die Ansicht "Key Rollver" in der ID Vault, keine Ahnung seit wann es die gibt, bei Domino 9 jedenfalls noch nicht.
In der sieht man jedenfalls die Schlüsselstärke. Aber anscheinend nicht die, welche die ID Momentan hat, sondern die .... gewünschte???? Keine Ahnung. Da steht bei meinen Problemfällen jedenfalls Mist drin, zum Teil 0. Die Rolloverkandidaten die er auf 1024 zurück Stufen will, stehen unter Pending mit der Strenght 1024, obwohl alle Adminanforderungen gelöscht sind und der Schlüssel aktuell 2048 hat.

Weis jemand wo es sich das her holt?

Die View zeigt den Wert ActiveKeyWidth aus dem ID-Vault selbst.
Auffallend ist, das es insbesondere ältere ID's bei mir betrifft, die 0 anzeigen, Ausnahme: die ersten je angelegten IDs.

Ich vermute daher, dass bei allen vom Typ "International" eine 0 steht, bei "North American" ein Wert.

Durch Rezertifizierung oder Key Rollover mit älteren Certs kann das dann zur "Rückstufung" bei einigen führen, was bei neueren nicht passiert. Da bei Internationalen Schlüsseln der Key aus mehreren Teilen besteht - vielleicht zeigt der Wert "0" in dem Fall auf eine nicht vorhandene Komponente bei internationalen IDs.

HTH
Carsten

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz