CA Process - CA auf neuen Server verschieben

    Hi,


    ich habe auf einem Server einen Zertifizierer migriert. Soweit alles gut :) - nur das der Server jetzt abgelöst werden soll :(


    Wie kann ich jetzt die CA auf einen anderen Server verschieben?

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.

    habe ich vor Ewigkeiten mal gemacht :-(... hier ist meine Anleitung dazu (unter damals Notes 6.0.x):



    ---------------
    1. Open names.nsf in Designer


    2. Create a new agent to change the field CAPrcsName. The server name is the new CA server, make sure to type the fully qualified name and check that the agent only runs on selected documents. Name the agent as you like - here it is CAchange.


    Agent:
    --------
    FIELD CAPrcsName:= "New_Servername/OU=Germany/O=Company";
    SELECT @All
    -----


    3. Open the ICL database in Designer and copy this agent there.


    4. Open names.nsf and display hidden view ($CertificateAuthorities) (press Ctrl+Shift, then select View | Go To)


    5. Select the certifier you want to change and then run the CAchange agent.


    6. Open the ICL database and go to the All Documents view. Select all the CAconfiguration documents and run the CAchange agent.


    7. Replicate names.nsf and the ICL database to your new CA server. Check the ACL and make the new server the administration server of the ICL database.


    8. Open the Admin client, go to the Configuration tab. Click Modify Certifier on the Tools pane at the right. Choose the newly moved certifier from the Domino Directory drop down list. Click OK.
    At the certifier screen leave all options as is and click OK.


    This step will create an AdminP request to update the CA document with the proper certificates. Once adminp has processed the request completely, proceed to the next step.


    9. On the old CA server, run tell CA refresh and then tell CA status to confirm that it no longer is the CA server for your selected certifier.


    10. On the new server, run load CA, then tell CA refresh and finally tell CA status to confirm that CA is now running properly. You can then delete the ICL database on the old server (you will need to disable CA first - tell CA quit - then delete the ICL database, and load CA again).
    --------

    Sebastian K.:


    Vorsicht, deine Anleitung funktioniert nur in bestimmten Konstellationen. Insbesondere nur dann, wenn nicht die Verschlüsselung per ServerID in der CA ausgewählt wurde.


    Weiterhin muss in die CA-Konfiguration der neue Server mit aufgenommen werden, da dieser sonst keine Rechte per CA-Prozeß hat, das wird vom geposteten Agenten auch nicht geändert (kann es auch nicht, da diese Info nicht in einem Feld des Zertifiziererdokuments steckt.


    @Topic:


    Die Anleitung selbst ist doch eher spezifisch auf die Art der Verschlüsselung bezogen und die Rollen, die die beiden Server in der Domäne einnehmen. Ich habe eine gute Anleitung in der KB gefunden, die allerdings auch ein paar unnötige Dinge (Administrationsserver wird da ebenfalls gewechselt) vornimmt aber genau beschreibt, wie die Verschlüsselung neu zuzuweisen ist, sofern man diese verwendet.


    Auch wichtig: Die Person, die das alles durchführt, muß in der CA mit angegeben sein, damit sie überhaupt an die verschlüsselten Felder herankommt.


    Ebenfalls sehr interessant, und ich kann mir momentan den Grund nicht erklären warum die das so empfehlen, es wird darauf hingewiesen, die ICL per OS-Copy also über das Dateisystem auf den neuen Server zu bringen. Ich werde das mal in meiner nächsten Multi-Server Umgebung testen, wenn ich mal wieder einen Kurs habe, ob das tatsächlich einen Unterschied zur Replikation macht.


    Hier der Link:


    Move a CA process-enabled certifier from one Domino server to another

    Hi,


    Danke für die Infos. Die Nutzer/Server kann ich ja noch eintragen - der Server lebt ja noch.


    Den Rest werde ich mal testen und berichten.


    Schönes Wochenende

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.

    Hi,


    CarstenH: Mit der Anleitung hat es wunderbar funktioniert. Die ICL-DBs mußten tatsächlich von Hand per Filesystemkopie transferiert werden (nur ein Zertifizierer ließ sich mit einer Replik "abspeisen") - warum auch immer?


    Zusätlich hatte wir noch vorsichtshaber den neuen Server mit in die ACL der ICLs aufgenommen. Vielleicht wäre es aber auch ohnen gegangen.

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.