Autor Thema: CA Prozess "vergisst" Admin- Anforderung nach Rezertifizierung  (Gelesen 1600 mal)

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Ich habe hier auf einem Domino 9.0.1FP9HF140- Cluster- Pärchen ein seltsames Problem mit dem CA- Prozess.

Manchmal "vergisst" der Prozess, das gerechnete Zertifikat ins Personendokument eintragen zu lassen... Und dann kann sich der User auch Tage / Wochen nach der Anlage nicht anmelden mit der Meldung "Ihr Zertifikat wurde noch nicht von der Zertifizierungsstelle signiert.".

Ich habe -weil mir persönlich der Prozess nicht klar war und ich auch keine so tiefgehende Doku gefunden habe- mal den Prozess "reverse engineered" und in einfachen Worten für mich zusammengeschrieben:

Zitat
1. Admin registriert oder rezertifiziert Benutzer: admin4 auf dem Server, auf dem die names.nsf offen ist erhält einen Certificate Request
    - dieser ist sichtbar in Certification Authority Requests - Certificate request
    - Status des Requests: "Approved by Registration Authority"
    
2. Die admin4.nsf wird gemäß Schedule auf den Server repliziert, dessen CA- Prozess für diese OU zuständig ist
    
3. Der CA- Prozess auf zuständigem Server signiert die Anfrage, es passiert folgendes:
    - Anfrage erhält neuen Status "Issued by Certification Authority"
    - In der admin4.nsf wird ein neuer Eintrag generiert "Recertify Person in Domino Directory", sichtbar in der Ansicht "All Requests by Name" (Zuständig: Admin Server der Domäne)
    - In der ICL- Datenbank für OU wird ein neues Dokument mit dem neuen Schlüssel angelegt, sichtbar unter "Issues Certificates\By Subject Name"
   - Das Zertifikat des neuen Requests in admin4.nsf ist identisch mit dem Zertifikat in der ICL- Datenbank
    
4. Recertify- Anfrage muss auf den Adminserver (kein Clustermember) repliziert werden

5. Admin Prozess trägt neues Zertifikat im Benutzerdokument ein auf dem Admin- Server und setzt Recertify- Abfrage auf Abgeschlossen

6. names.nsf muss auf den Mail- Home- Server des Benutzers zurückrepliziert werden, damit Benutzer arbeiten kann.

Soweit ich das nachvollziehen kann, findet manchmal (nicht immer) der blau-kursiv geschriebene Schritt nicht statt: Der Recertify- Request wird einfach nicht erstellt.
Das Log zeigt aber zu dem Zeitpunkt keinerlei Fehler an:

Zitat
01/21/2019 03:31:58 PM  Certifying Hans Wurst/DE/Company
01/21/2019 03:31:58 PM  CA Process (OU=DE/O=Company): Certificate Request processed.

Sonst ist da nix im Log: Kein Adminp Fehler oder sonstwas...

Wenn man erneut zertifiziert, dann geht es mal, mal geht es nicht, aber wenn man es oft genug probiert geht es auf jeden Fall irgendwann mal.
Kennt jemand das Verhalten?

Ich werde jetzt als Workaround in einem Agenten die ICL- Datenbanken durchlaufen, und die dortigen Zertifikate mit denen in den Personendokumenten vergleichen und überlege grade, ob ich das admin4- Dokument automatisch anlegen lasse, aber schön ist das natürlich nicht...

Ach, ganz vergessen: Das ganze passiert in der selben Domäne AUCH bei einer OU, die vom CA- Prozess direkt auf dem Admin- Server behandelt wird, also unabhängig vom eingangs erwähnten Cluster.
« Letzte Änderung: 30.01.19 - 16:25:30 von Tode »
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz