Das Notes Forum

Domino 9 und frühere Versionen => ND7: Administration & Userprobleme => Thema gestartet von: Christian H. am 23.10.06 - 14:42:00

Titel: "Ihr Adressbuch enthält kein Gegenzertifikat für diese Organisation"
Beitrag von: Christian H. am 23.10.06 - 14:42:00

Hallo Zusammen,

Ich habe ein Problem.

Unsere Clients = 7.0.1 auf XP Prof.
Unsere Server = 7.0.1 auf Win 2003 Server

Ich möchte den Namen unserer Organisation wechsel. (z.B. O = Gebr. Grimm  --> O = Grimm)
Die Zertifizierer sind miteinander gegenzertifiziert.
Wenn ich ein User der mit einem Zertifizierer UO=Schm/O=Gebr. Grimm/DE angelegt wurde, umbenenne (Wechsel zu einem neuen Zertifizierer) zu   -->   UO=Schm/O=Grimm/DE
funktioniert alles ohne Probleme.
Danach noch in der "admin4" den "Move" bestätigen, auch hier läuft alles ohne Fehler durch.

Wenn ich mich jetzt mit diesem Benutzer anmelde und die MailDB öffnen will kommt die Meldung, "Gegenzertifikat erstellen": "Ihr Adressbuch enthält kein Gegenzertifikat für diese Organisation"
"Organisation" Grimm/DE ...  die Meldung kann mit Ja / Nein beantwortet werden.
Ich verstehe nicht Warum diese Meldung erscheint? Habe ich die Möglichkeit, wenn die Meldung an dieser Stelle für jeden Benutzer erscheint, die Meldung im Vorhinein für den Benutzer zu beantworten?

Ich Hoffe, dass ich die Sache richtig beschrieben habe.
Ich habe erst seit zwei Monaten mit der Notes Administration zutun, vorher (nur) Helpdesk Support für Lotus Notes.

Titel: Re: "Ihr Adressbuch enthält kein Gegenzertifikat für diese Organisation"
Beitrag von: Lossa am 23.10.06 - 15:21:53

Hallo,

ein Gegenzertifikat od. auch Querzulassung, muss immer in beide Richtungen gehen. Das heisst jeder User muss ein Gegenzertifikat für die neue Organisation in seinem names.nsf haben.
Dieses kannst du mittels eines LotusScripts Button in einer Mail erreichen, die du vor deiner Verschiebung des Users an diesen sendest. Sonst muss jeder User einmal diese Gegenzertifizierung mit Ja machen.

Titel: Re: "Ihr Adressbuch enthält kein Gegenzertifikat für diese Organisation"
Beitrag von: Christian H. am 24.10.06 - 15:45:41

Hallo,

vielen Dank für die schnelle Antwort!

Ich kann das jetzt auch nachvollziehen.

Aber wieso verlangt er nach der Gegenzertifizierung mit der neuen Organisation noch eine Gegenzertifizierung mit der Organisation mit der der Benutzer angelegt wurde?

Sprich der User hat jetzt in seiner "names.nsf" ein Gegenzertifikat von "Grimm/DE" und von "Gebr. Grimm/DE"

Titel: Re: "Ihr Adressbuch enthält kein Gegenzertifikat für diese Organisation"
Beitrag von: Lossa am 24.10.06 - 16:04:00

Hi,

wenn der Client Kommunikation mit dem Server aufbaut, wird eine Art Handshake ausgeführt. In diesem Handshake kommt es auch zum prüfen der Zertifikate, daher muss der Client wissen, ob er dem Zertifikat des Server "vertrauen" darf. Dieses prüft der Client entweder mit damit das die ID des Users von gleichen Zertifikatsstamm abstammt wie die des Servers, oder eben ob eine Gegenzertifizierung im Adressbuch eingestellt worden ist.

Besuche ein meiner Schulungen (Grundlagen Admin) dort erfährst du solche Details.