The signature on the certificate ... invalid.

    Hallo!


    Lotus Notes/Domino stellt mich immer wieder vor neue Herausforderungen. Auch diesmal kann ich nur hoffen, hier Hilfe zu bekommen ...


    Mein Problem:
    Bei dem Versuch eine Person in der Namenshierarchie zu verschieben (wie im Admin-Handbuch "Benutzernamen in der Namenshierarchie verschieben" beschrieben) gab es bisher keine Probleme.


    Ich gehe dabei immer folgendermaßen vor:


    Beispiel: Max Testmann/Abteilung_1/Abc verschieben nach bzw. umbenennen in Max Testmann/Abteilung_2/Abc


    1. IBM Domino Administrator
    -> Testmann, Max markieren
    -> Personen -> Umbenennen...


    2. Ausgewählte Notes Benutzer umbenennen
    -> Wechsel zu neuem Zertifizierer anfordern


    3. Zertifizierer wählen
    -> Öffnen: abt1.id


    4. Zertifizierer der ausgewählten Person wechseln
    -> Neuer Zertifizierer: /Abteilung_2/Abc
    -> Jeden Eintrag individuell prüfen: aktivieren


    5. Person umbenennen
    -> Primärer Name darf geändert werden, wenn Zertifizierer gewechselt wird: aktivieren


    6. IBM Domino Administrator
    -> Server -> Analyse -> Admin-Anforderungen -> Anforderungen zur Namensverschiebung
    -> Max Testmann/Abteilung_1/Abc@Abc -> Verschiebung für gewählte Einträge abschließen


    7. Zertifizierer wählen
    -> Zertifizier-ID -> abt2.id



    Bisher wurde dann im Personendokument der alte Name (Max Testmann/Abteilung_1/Abc) beibehalten und der neue Name (Max Testmann/Abteilung_2/Abc) hinzugefügt.


    Jetzt treten dabei folgende Probleme auf:
    1. Der neue Name (Max Testmann/Abteilung_2/Abc) wird nicht im Perosnendokument hinzugefügt. Es sind keine Änderungen im Personendokument zu erkennen.
    2. Diese Fehlermeldung konnte ich finden: Adressen ABCDE File name: names.nsf; Error: The signature on the certificate was found to be invalid. Check the log file for details.


    In der Forum-Suche sowie bei div. Google-Recherchen bin ich u.a. auf das hier gestoßen: Zertifikat Problem


    In den meißten Fällen wurde das Problem durch den IBM-Support gelöst. Leider steht mir diese Möglichkeit nicht zur Verfügung.
    Ich habe auch schon versucht, wie in vielen Fällen beschrieben, div. Zertifikate (also im Personendokument, von den Zertifizierern und/oder IDs) zu vergleichen. Aber es ist wie bei der "Suche-nach-der-Nadel-im-Heuhaufen". Ich weiß einfach nicht mehr weiter und bin schön langsam aber sicher am verzweifeln.


    Für eure Antworten bin ich wie immer sehr dankbar.


    RelCreative

    Und was genau steht im Log File, auf das dich die Fehlermeldung schon hinweist ?


    Und das ungültige Zertifikat kann hier nur an drei Stellen liegen: alter Certifier, neuer Certifier oder Person. Hast du diese drei denn schon verglichen ?


    Eventuell hast du ja eine falsche Cert.id verwendet

    Das ist die Fehlermeldung aus dem Log-File (log.nsf). Mehr steht da leider nicht drin.


    Leider ist mir nicht ganz klar welche Felder ich von den Certifiern miteinander vergleichen muss oder an welcher Stelle man genau nachschauen muss. Bzw. welche Zertifikate od. Schlüssel übereinstimmen müssen und welche nicht übereinstimmen dürfen.

    Daß die Public Keys übereinstimmen.


    Im Certifier bzw Personendokument gibt es da ein Feld dafür (Notes certified public key).


    Den vergleichst du dann mit dem Public Key der jeweiligen ID, indem du sie über den Admin und den Punkt ID Eigenschaften öffnest und dort den Public Key rauskopierst

    Im Personendokument von Max Testmann (Admin Client -> Personen und Gruppen -> Max Testmann -> Zertifikate -> Notes Zertifikate) sind nur unter "Notes Zertifikate" die Felder ...
    - Bezeichner des primären Schlüssels
    - Bezeichner des internationalen Schlüssels
    - Aktuelle Schlüsselstärke
    - Erstellungsdatum des aktuellen Schlüssels
    - Notes zertifizierter öffentlicher Schlüssel
    ... ausgefüllt.


    In den ID-Eigenschaften (Admin Client -> Konfiguration -> Werkzeuge -> Zertifizierung -> ID-Eigenschaften...) der jew. ID (mtestma.id) finde ich keinen öffentlichen Schlüssel. Auch nicht beim Zertifizierer (also der ID des Zertifizierers) der zur Zertifizierung von Max Testmann verwendet wurde.
    In den ID-Eigenschaften der mtestma.id gibt es ein Feld (unter Ihre Identität -> Ihre Zertifikate), das "Schlüsselbezeichner" heißt. Muss dieser Schlüssel verglichen werden?


    Wie schon gesagt. Ich weiß echt nicht welche Felder ich miteinander vergleichen muss. Und schon gar nicht welchen Schlüssel/Key ich von wo nach wo kopieren soll.

    Mir ist gerade aufgefallen dass sich die im Personendokument hinterlegten Schlüssel (Bezeichner des primären Schlüssels und Bezeichner des internationalen Schlüssels) unterscheiden.


    In der dazugehörigen ID (des Benutzers) sind beide Zertifikate mit beiden Schlüsseln enthalten.

    Bei Ihre Zertifikate gibt es unter Other Actions\Mail, Copy Certificate (Public Key) die Möglichkeit diesen zu exportieren.
    Wie es im deutschen Client heisst weiß ich gerade nicht, aber sollte zu finden sein

    Also gut. Wo ich welche Schlüssel finde weiß ich jetzt. Es geht NUR um "öffentliche Schlüssel" (= viele kryptische Zahlen und Buchstaben in 8er Blöcken).


    So habe ich schon mal weitergemacht:
    Den "Notes zertifizierten öffentlichen Schlüssel" aus dem Personendokument von Max Testmann mit dem öffentlichen Schlüssel der ID mtestm.id verglichen. Diese Schlüssel scheinen gleich zu sein.


    Allerdings gibt es zwei Zertifizierer-IDs:
    abt1.id
    abt1_neu.id


    Soviel ich von meinem Vorgänger noch weiß, gab es mal Probleme mit Personendokumenten, die mit der Zertifizier-ID abt1.id zertifiziert wurden. Anscheinend wurden all diese Personendokumente (die mit abt1.id zertifiziert wurden) nochmal mit abt1_neu.id zertifiziert.


    Bisher habe ich mit der Zertifizier-ID abt1_neu.id gearbeitet, getestet und auch Schlüssel verglichen. Bei dem Versuch die Verschiebung in der Namenshierarchie mit der alten ID, also abt1.id durchzuführen bekam ich folgenden Fehler (in Admin-Anforderungen/Anforderungen zur Namensverschiebung):
    Dokument wurde seit der Signierung geändert oder beschädigt! (Signatur)


    Habe außerdem noch versucht den öffentlichen Schlüssel von abt1_neu.id in das Personendokument von Max Testmann einzufügen. Beim anschließenden Verschieben in der Namenshierarchie bekomme ich dann schon in der Zusammenfassung die Meldung: "Fehlgeschlagen 1"

    Was du da jetzt treibst ist schon eher destruktiv.


    Wieso gibt es überhaupt zwei Certifier für die gleiche Abteilung ?


    Wichtig ist bei einer Umzertifizierung, daß du die richtigen beiden IDs verwendest und beide Certifier auch korrekt im Adressbuch eingetragen sind.


    Sonst wird es immer schief laufen

    Zitat

    Wieso gibt es überhaupt zwei Certifier für die gleiche Abteilung ?


    Das weiß ich nicht so genau. Hab das vom Vorgänger so übernommen. Ich kann mich noch dunkel daran erinnern, dass es mit dem ersten Zertifizierer mal Probleme gab.
    Leider hatte ich zu diesem Zeitpunkt mit der Administration eines Lotus Domino Servers gar nichts am Hut. Was ich mittlerweile sehr bereue!
    Nach wie vor habe ich nicht wirklich Ahnung davon, was ich da eigentlich tue. Und "Experimente am lebenden Objekt" sollte man ja nicht machen. Aber wie das halt so im Leben ist, wird man einfach ins kalte Wasser geworfen und wehe es geht dann mal was schief ...

    Dann hatte dein Vorgänger wohl wirklich keine Ahnung was er da eigentlich getan hat.


    Ich kann mir eigentlich keine Probleme vorstellen, die man mit einem Certifier haben kann, die so ein seltsames Vorgehen rechtfertigen.


    Was natürlich auch noch sein könnte, wäre daß ein dritter gleichnamiger Certifier existiert, von dem du eben nichts weisst.


    Deswegen bitte mal wirklich alle drei Schlüssel vergleichen und auch schauen ob die Keys der Zertifizierungsstellen des Users mit dem des alten Zertifier übereinstimmen.


    Das ganze sollte mal grundsätzlich behoben werden, wobei ich dir da empfehlen würde, euch mal nen entsprechenden Dienstleister zu holen, der das einmalig glatt zieht.
    Denn du sagst ja selbst, daß dir die tieferen Kenntnisse fehlen.
    Eventuell kannst du dir im Rahmen dessen ja auch gleich mal eine Schulung geben lassen

    Da ich mit diesem Problem überhaupt nicht weiterkomme, möchte ich den Benutzer manuell umbenennen.


    Ich werde dabei vermutlich so vorgehen:
    1. Änderung im Perosnendokument -> alten Namen durch neuen ersetzen
    2. sämtliche ACLs korrigieren


    Wenn ich so vorgehe, was habe ich dann zu befürchten bzw. welche Konsequenzen hätte dies zur Folge? Ich weis nämlich nicht, ob ich an alles gedacht habe.
    Oder hat jemand eine bessere Idee?


    Zitat


    Das ganze sollte mal grundsätzlich behoben werden, wobei ich dir da empfehlen würde, euch mal nen entsprechenden Dienstleister zu holen, der das einmalig glatt zieht.


    Das sehe ich genauso wurde aber bisher abgelehnt.


    Zitat


    Denn du sagst ja selbst, daß dir die tieferen Kenntnisse fehlen.
    Eventuell kannst du dir im Rahmen dessen ja auch gleich mal eine Schulung geben lassen


    Auch die bereits genehmigte Schulung wurde abgelehnt.

    Nur schon mal so: DAS ist ziemlich die schlechteste Idee, lass es bitte!
    Nun muss ich erst den Thread noch mal lesen...


    Gruß Steffen

    [color=0000CC]"Wir können Probleme nicht mit dem Denken lösen,
    das zu ihnen geführt hat." ( A. Einstein )[/color]

    Zitat

    Das sehe ich genauso wurde aber bisher abgelehnt.



    Auch die bereits genehmigte Schulung wurde abgelehnt.


    Du solltest, bei dem was dir da gerade an Arbeit bevor steht, alle Verantwortung für Folgen ablehnen.
    Ihr habt schwere, schwere Probleme im Herzstück eures Systems.
    Durch ein paar Q&A in einem Forum kann man das nicht sauber bereinigen.
    Sprich bitte noch mal mit deinem Vorgesetzten!


    Gruß Steffen

    [color=0000CC]"Wir können Probleme nicht mit dem Denken lösen,
    das zu ihnen geführt hat." ( A. Einstein )[/color]

    Zitat


    RelCreative schrieb:
    Habe jetzt bei meinen Recherchen diesen Beitrag hier gefunden:


    Person umbenennen, aber ID-File fehlt


    Ist das ne Möglichkeit, die auch bei mir funktionieren könnte?


    Wie gesagt, ich muss noch mal lesen...
    Aber das kann dir nicht helfen, da du Probleme mit den Zertifikaten hast, die verglichen werden.
    Da ist es völlig egal, wie der User heißt, wenn ein falsches Cert in der ID steht.


    Gruß Steffen

    [color=0000CC]"Wir können Probleme nicht mit dem Denken lösen,
    das zu ihnen geführt hat." ( A. Einstein )[/color]

    Da muss ich Steve_O. zustimmen.


    Wenn du in dieser Art an einem an sich schon kaputten System herumdokterst ohne genau zu wissen was du tust und dich nicht absicherst, kann es leicht passieren, daß du am Schluss verantwortlich gemacht wirst.


    Unter Umständen kann das dann sogar entsprechende arbeitsrechtliche Konsequenzen haben.


    Ich würde an deiner Stelle, genauestens dokumentieren was für probleme aktuell da sind und wann bzw von wem diese verursacht wurden und das ganze dann schriftlich mit der Empfehlung einen Spezialisten dafür zu holen an deinen Chef weitergeben.
    Inklusive auch dem Hinweis, daß dein Kenntnisstand ohne entsprechende Weiterbildung nicht ausreicht diese Probleme zu beheben und du bei Anweisung diese selbständig und ohne Hilfe zu beheben jede Verantwortung für eventuelle negativen Folgen ablehnst