AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
17.01.20 - 23:29:36
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News: Jetzt mit HCL Notes / Domino 11 und einem Extraboard für Nomad!
Schnellsuche:
+  Das Notes Forum
|-+  Lotus Notes / Domino 9
| |-+  ND9: Administration & Userprobleme (Moderatoren: Axel, Thomas Schulte, koehlerbv)
| | |-+  Ungültige Vaultzertifikatkette
« vorheriges nächstes »
Seiten: [1] Nach unten Drucken
Autor Thema: Ungültige Vaultzertifikatkette  (Gelesen 265 mal)
Lisa
Junior Mitglied
**
Offline Offline

Beiträge: 97


« am: 02.01.20 - 12:20:31 »

Hallo,

obige Meldung fand ich im lokalen log, nachdem die Zertifizierung eines neuen Mitarbeiters fehlgeschlagen war.
Da nach dem Update von 8 zu 9 (bereits 2018) der CA-Prozess nicht mehr funktionierte und die umstellende Firma das nicht hinbekommen hatte, haben wir wieder mit einer cert.id Benutzer zertifiziert. Wenn der CA-Status abgefragt wird, kommt keine Antwort.

Vor 2 Wochen funktionierte das Rezertifizieren mittels cert.id noch.
"Ungültige Vaultzertifikatkette" finde ich beim Google nicht.
Bei einigen 100 Benutzern war der 31.12.19 als Ablaufdatum für die ID eingetragen, wohl im Zuge des Umstellungsprozesses passiert.
Hat jemand eine Idee, was ich hier tun kann?

Gruß Lisa

P.S
hier der komplette log-Inhalt - ich mach erstmal die cache-Datei leer, das kann doch aber nicht der Grund sein?...
02.01.2020 07:54:28   In Datenbank kann nicht geschrieben werden - Datenbank c:\Program Files (x86)\IBM\Notes\Data\Cache.NDK würde die erlaubte Größe 30720 KB um 768 KB überschreiten.
02.01.2020 08:30:00   FAILOVER_INFO :(DeskSendAsyncFailbackRequest) Send Failback Request to Java, with Server Name and HeadlessDb ID
02.01.2020 08:30:00   FAILOVER_INFO :(DeskSendAsyncFailbackRequest)  server is now available, Failing back to the home server; Error = 0
02.01.2020 11:42:01   Neue Wiederherstellungsinformationen wurden in der ID-Datei für xxx/DE erfolgreich aktualisiert
02.01.2020 11:42:01   ID mit neuen Wiederherstellungsinformationen für xxx xxx/xxx/DE zum Backup markiert
02.01.2020 11:42:03   Authentifizierung bei Server xxx/xx/DE fehlgeschlagen: Ungültige Vaultzertifikatkette. Details finden Sie im Protokoll.
02.01.2020 11:42:03   ID upload to the Notes ID Vault failed.

02.01.2020 11:42:42   Der Registrierungseintrag für 'xxx xxx' muss geändert werden, bevor diese Person registriert werden kann.
02.01.2020 11:43:23   Eine Datei mit dem Maildateinamen dieser Person ist bereits vorhanden. Verwenden Sie einen eindeutigen Namen für die Maildatei dieser Person.
02.01.2020 11:45:43   Eine Datei mit dem Maildateinamen dieser Person ist bereits vorhanden. Verwenden Sie einen eindeutigen Namen für die Maildatei dieser Person.
02.01.2020 11:50:41   Der Registrierungseintrag für 'xxx xxx' muss geändert werden, bevor diese Person registriert werden kann.
Gespeichert
Patrick Schneider
Aktives Mitglied
***
Offline Offline

Beiträge: 163


« Antworten #1 am: 03.01.20 - 11:24:50 »

Hallo,

es könnte sein, dass eure ID-Vault Zertifikate abgelaufen sind (die sind nur 10 Jahre gültig).
Die Anleitung für die Erneuerung findet sich hier:
https://hclpnpsupport.hcltech.com/kb_view.do?sysparm_article=KB0037905

Viele Grüße,
Patrick
Gespeichert
Lisa
Junior Mitglied
**
Offline Offline

Beiträge: 97


« Antworten #2 am: 07.01.20 - 08:08:41 »

Hallo Patrick,
herzlichen Dank für Deinen Hinweis. im Dezember 2009 wurde die Vault beim Wechsel von Notes 6 zu 8 eingerichtet. Genau vor 10 Jahren.
In der IBM Knowledgebase finde ich auf den 1. Blick nichts passendes.
https://www.ibm.com/support/knowledgecenter/search/vault?offset=66&scope=SSKTMJ_10.0.1

HCL nur mit Zugangsdaten... Unser Support lief am 31.10. aus.
Da auch der CA seit der Umstellung auf Notes 9 nicht funktioniert, werde ich mal einen Supporter kontaktieren.

Gruß
Lisa
Gespeichert
Patrick Schneider
Aktives Mitglied
***
Offline Offline

Beiträge: 163


« Antworten #3 am: 13.01.20 - 21:41:56 »

Hallo Lisa,

kurze Zusammenfassung
Alte Zertifikate sichern + löschen
Bestehende Beziehung erneut aufbauen
Und hier der Text-Teil des KB-Eintrags:

1. Open domino directory(names.nsf) on the administration server or the primary vault  server on which the ID Vault database  is hosted  from Domino Administrator Client .
 
2. Please check certificate expiration date for the ID Vault trust certificate & password reset certificates. If both shows as expired, then follow the below steps else choose the one which is expired.
 
3. Go to Configuration->Security->Certificates-> In this view you will find the "Vault Trust Certificate" & the "Password Reset Certificates".
 
image
 
4. Copy those two documents and back it up (May be you can create a new blank copy of the names.nsf and paste the two documents for back up purpose)
 
5. Proceed to delete those 2 certificates by hitting "delete" key followed by "F9" & "Enter" key.
 
6. Go back to the View  Configuration->Security->ID Vaults-> From the right hand side  panel please click on the "Manage" button to run the ID Vault Wizard.
 
image
 
7. Click next and select "Add or remove organizations that trust the certificate" & "Add or remove password reset authorities" and  again click  on next.
 
image
 
8. Add the Trusted Vault Organization(Certifier) with which it was trusted earlier:
 
image
 
9. Proceed to add the "Password Reset Authority" Id's to it.
 
image
 
10. Below window will pop up and you need to proceed by hitting the "Configure" Button.
 
image
 
11. Configuration process  will ask you to select the certifier id which is used to trust the vault. You have to select  the certifier and provide the password.
 
image
 
12. Post giving the certifier password the Vault wizard configuration will complete with a display message as below:
 
image
 
13. Go back  to the names.nsf and look at the Configuration->Security->Certificates . You will see the newly  created cross certificate entries,  which were removed in the first step. Those new certificate entries will have a new expiration date  set for next 10 Years.
 
image
 
Notes:
- Ensure to check what is your Vault trust certifier and you have the corresponding certifier Id & password available to execute the mentioned action.
- Ensure to list out the current Password Reset Authorities , since the  renewal process  will ask you to to re-add them again.

Viele Grüße,
Patrick
Gespeichert
Seiten: [1] Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: