Hallo liebes Forum,
ich habe (Server + Clients, alles Release 8.5.3) folgendes reproduzierbare Problem festgestellt:
Ich wollte die Schlüsselstärken der Umgebung komplett austauschen. Begonnen habe ich mit den Cert-IDs: Der Austausch im Administratorclient (Konfiguration -> Werkzeuge -> Zertifizierschlüssel austauschen) verlief reibungslos. Anschließend habe ich einige Benutzer-ID's verlängert, die dann offenbar auch den neuen Schlüssel bekommen haben, alles soweit sauber.
Dann habe ich die Schlüssel der Server-ID ausgetauscht, wie in der Administratorhilfe angegeben, d.h. im Serverdokument im Register Administration die notwendigen Einstellungen vorgenommen, den Server neu gestartet, anschließend die Administrationsanforderung bearbeitet und den Administrationsprozess durchlaufen lassen. Nach erneutem Serverneustart war die Server-ID up to Date.
Nach dem Server-ID-Austausch bekommen die Anwender nun aber bei Serverzugriff eine Fehlermeldung "Die Signatur auf dem Zertifikat ist ungültig. Details befinden sich im Protokoll". Im Protokoll finde ich allerdings keine Details, die mir weiterhelfen. Zu dieser Fehlermeldung gibt es hier im Forum bereits einige Diskussionsbeiträge, jedoch leider nicht mit einer für mich passenden Lösung. Die Anwender können die Fehlermeldung wegclicken und bekommen dann Zugriff auf den Server, da ich (derzeit noch) mit den laxen Default-Sicherheitseinstellungen arbeite.
Weitere Untersuchungen ergaben:
Es ist egal, ob ich bestehende User-ID's verwende oder nach dem Austausch des Serverschlüssels neue erstelle, alle User erhalten die Fehlermeldung.
Das gleiche Problem trat dann auch im Bereich einer Organisations-Gegenzertifizierung auf. Festgestellt habe ich das, indem ich über die Konsole trace- und replicate-Befehle abgesetzt habe, dort tauchten dann analoge Fehlermeldungen (in Englisch) in der Konsole auf, die Verbindung zum Fremdserver wurde hier sogar verweigert.
Hier hätte ich mir das Ganze auch noch erklären können, wenn eine erneute Gegenzertifizierung zur Fremddomäne (mit neuen Save-ID's in beiden Richtungen) zum Erfolg geführt habe, dem war aber nicht so.
Das Problem scheint daher tatsächlich an der Server-ID zu liegen, denn nach meiner Kenntnis setze ich Serverbefehle auf der Konsole immer mit Serverrechten ab. Das Löschen und Neuanlagen einer lokalen names.nsf (als "Schuss ins Blaue") hat im Übrigen auch nichts gebracht.
Hinsichtlich der angegebenen Schlüsselbezeichner in den ID's habe ich keine inkonsistenten Angaben gefunden.
Mir blieb nur, die alten zuvor gesicherten ID's mit altem Dominoverzeichnis wieder einzuspielen und das Projekt "Schlüsselaustausch" zu vertagen.
Aber die Uralt-Schlüssel aus Release 4 Zeiten sollen nicht dauerhaft weiterverwendet werden. Daher meine Fragen an das Forum:
Hat schonmal jemand die Serverschlüssel ausgetauscht und ähnliche Probleme gehabt? Kann mit jemand erklären, welche Signatur auf welchem Zertifikat ungültig sein könnte?
Thema: Schlüsselaustausch auf Server verursacht einen Fehler (Gelesen 2064 mal)