AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
20.08.19 - 11:32:03
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News:
Schnellsuche:
+  Das Notes Forum
|-+  Lotus Notes / Domino 7
| |-+  ND7: Administration & Userprobleme (Moderatoren: eknori, koehlerbv, m3)
| | |-+  HILFE! Certifier - Problem ... "Root" expires ...
« vorheriges nächstes »
Seiten: [1] Nach unten Drucken
Autor Thema: HILFE! Certifier - Problem ... "Root" expires ...  (Gelesen 403 mal)
jww
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 155


« am: 27.07.19 - 13:56:53 »

Hallo in die Runde,

leider bin ich aus dem Thema Zertifizierung und User- bzw. Server-ID's schon so lange draussen, dass ich mich grad ziemlich unbeholfen anstelle ...kann mir vielleicht jemand auf die Sprünge helfen?

Folgendes Problem:
Die Wurzel-Instanz meiner Zertifikate-Hierarchie läft demnächst (genauer gesagt in wenigen Tagen) aus. Dem entsprechend müßte ich alles neu "runterzertifizieren", also wohl eine neue Wurzelinstanz (-ID) generieren mit demselben Namen und dann alles nachzertifizieren.

Das aber würde evtl. auch bedeuten, dass alle lokalen Verschlüsselungen "über die Wupper gehen"?

Glücklicherweise habe ich nur noch meine Server und zwei User-ID's in Benutzung, wobei beide User und die Server (historisch, das wurde alles irgendwann um 1995/96 oder wahrscheinlich sogar früher, generiert) auf drei unterschiedlichen Sub-Zertifikaten beruhen sodaß nur vier Zertifikate, zwei User-ID's und drei Server-ID's betroffen sind.

Struktur ist:

De/<company>/<sub-co>/<abteilung oder server>/<name>


Fragen:
1.) Gibt es eine Möglichkeit, das Ablaufdatum einer Wurzel-ID (und weiteren, daraus abgeleiteten ID's) zu verlängern oder muß eine neue ID erstellt werden?
Falls ja .. könntet Ihr bitte stichwortartig die Schritte beschreiben? Ich habe schon viele Zertifikate erstellt und all die Admin Tätigkeiten durchgeführt, aber letzmalig vielleicht vor 15 Jahren.


2.) Falls 1.) nicht geht, welche Empfehlung gibt's um das Dilemma zu lösen und die Auswirkungen klein zu halten?

1000 Dank im Voraus!
jww

« Letzte Änderung: 27.07.19 - 13:59:14 von jww » Gespeichert

Notes ist klasse - und ab und an zum auf den Mond schiessen.
ronka
Aktives Mitglied
***
Offline Offline

Beiträge: 235


Was macht der hier denn, muß der überall sein ?


WWW
« Antworten #1 am: 28.07.19 - 08:35:55 »

Du kannst den Root mit sich selbst neu zertifizieren, und danach den automatischen mechnismen zum rezertifizieren verwenden.

Damit bleibt alles (bis auf den Ablauf datum) identisch mit den alten.

KEIN neuen ID generieren mit den gleichen namen, DANN würdest du masive problemen bekommen.
Gespeichert

das neueste von Domino 10 auf den AdminCamp in September -> www.AdminCamp.de
jww
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 155


« Antworten #2 am: 28.07.19 - 14:12:43 »

1000 Dank. werde das ausprobieren!
Gespeichert

Notes ist klasse - und ab und an zum auf den Mond schiessen.
jww
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 155


« Antworten #3 am: 29.07.19 - 13:34:06 »

ausprobiert .. geht.

Irgendwie ist es aber ziemlich "deppert": die Top Level cert ist ausgelaufen, aber die sub-levels nicht ... dass man nicht nur die top-level austauschen kann produziert reichlich arbeit.

Naja ...
Gespeichert

Notes ist klasse - und ab und an zum auf den Mond schiessen.
ronka
Aktives Mitglied
***
Offline Offline

Beiträge: 235


Was macht der hier denn, muß der überall sein ?


WWW
« Antworten #4 am: 29.07.19 - 15:52:27 »

Das haben Sie derjenige zu verdanken der das Erstellt hat.
Normalerweise wird der Certifier mit 100 Jahren erstellt, den Server mit 10 und die User mit jeweils 2 Jahren.

Wenn das nicht so war/ist, hat jemand wohl (oder übel) den manuell geändert.
Gespeichert

das neueste von Domino 10 auf den AdminCamp in September -> www.AdminCamp.de
jww
Aktives Mitglied
***
Offline Offline

Geschlecht: Männlich
Beiträge: 155


« Antworten #5 am: 30.07.19 - 10:43:06 »

Potenziell war ich das selbst.  Huh

Wir haben Notes bereits in V1 eingesetzt (OS/2, flat certs) und sind dann mit 2.0 in D "flächendeckend" gestartet. Ich meine, das war auch noch "flat" und irgendwann ich weis nicht mehr, wann genau das war - V3?? - sind wir auf hierarchische Zertifikate umgestiegen.

Allerdings finde ich es Quatsch, überhaupt zuzulassen, dass ein Sub-Zertifikat länger läuft als das "höhere" Zertifikat.

Ich denke, dass das damals einfach noch ein "altes Wissensgap" auch bei Lotus war - bedenke ... in den 90'ern hat kaum jemand überhaupt gewusst, was Zertifikate sind, wie RSA funktioniert etc .. ich habe damals bei Banken Schulungen zum Thema Authentifizierung und Verschlüsselung gegeben. Wir hatten damals auch eher das Y2000 Problem vor Augen denn das Ablauf-Datum eines Notes-Zertifikats ...

Anyhow. Hat ja alles geklappt und ich habe die Zertifikate jetzt mal auf nach meinem voraussichtlichen Tod gelegt ...
Gespeichert

Notes ist klasse - und ab und an zum auf den Mond schiessen.
Pfefferminz-T
Gold Platin u.s.w. member:)
*****
Offline Offline

Beiträge: 1094


« Antworten #6 am: 30.07.19 - 16:06:24 »

Zumindest seit V4 wird der erste Zertifizierer, der ja beim Aufsetzen des ersten Servers erstellt wird, mit 100 Jahren ausgelegt - ein anderes Ablaufdatum bedeutet eine manuelle Änderung des Ablaufs durch einen Admin. Also ein Rezertifizieren, wie Du es jetzt auch gemacht hast, nur mit einer Verkürzung. Zu vor v4 kann ich das leider nicht sagen.
Gespeichert

Grüsse,
Thorsten
Seiten: [1] Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: