Zertifizierundproblem oder andere??

    Hallo,
    ich habe einen Testserver 8.5.1 auf einer VM installiert.
    Anschlissend habe ich die DB aus einem produktiven System (Domino 5) ohne ACL kopiert und in die neue Umgebung rübergezogen.
    Hier habe ich die ACl angepass, dem Testserver und dem Admin Managerrechte gegeben. Die kopierten Datenbanken hatte ich zuerst mit der User ID des Admins signiert.
    Habe diese aber später erneut mit der Server ID des Test servers signiert.


    Auf die Anwendungen wird als Anonymer User über einen Browser zugegriffen.
    Bis auf eine Sache scheint alles zu funktionieren. MIt Hilfe eines Agenten wird eine Suche durchgeführt. Nach dem Klicken auf den Suchbutton bekommt man im Browser die Meldung "Agent done".


    Der Server gibt folgende Fehlermeldung aus.
    20/01/2011 10:37:50 Error processing certificate created by /Lenze for /Lenze: The subject's public key found in the certificate is not the one stored in our ID file for that entity.
    20/01/2011 10:37:50 Failed to authenticate with server Lenze-Notes1/Lenze: The subject's public key found in the certificate is not the one stored in our ID file for that entity. Check the local log file for details.
    20/01/2011 10:37:50 Error connecting to server lnz-notes/Lenze: The subject's public key found in the certificate is not the one stored in our ID file for that entity. Check the local log file for details.


    20/01/2011 10:37:50 HTTP Server: Agent 'twFTSearchAgent' error: Database CN=lnz-notes/O=Lenze!!AKB\infopool.nsf has not been opened yet


    Was mich wundert, der Servername der hier in der Fehlermeldung drin steht, ist der des produktiven Systems.
    Stimmt etwas mit der zertifizierung nicht und warum versucht er imer noch auf den alten Server zuzugreifen.


    Gruss

    Scheinbar wird die Suche auf einer DB des Produktivsystems ausgeführt. Musst halt den Code umstricken.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Der Servername und der Pfad zur DB sind im Agenten vermutlich hardcoded. Schau Dir den Quellcode des AGenten an.

    Habe mir mal den Quellcode der Agenten angeschaut. Dort ist nirgendswo eine Hardverdratung drin. Die Entwicklung wurde mit Lotusscript aber mit 4.6 gemacht.


    Wenn ich mir den Code im neuen Designer anschaue meckert er z.B bei %include.


    So etwas steht z.B dort drin.
    Class SearchDb
    server As String
    filename As String
    Public db As NotesDatabase
    Public MaxHits As Integer
    Public SpecialQuery As String
    Public subjectfieldname As String
    Public creatorfieldname As String
    Public authorfieldname As String
    Public resultCollection As NotesDocumentCollection

    Sub new( server As String, filename As String, _
    MaxHits As Integer, SpecialQuery As String, _
    subjectfieldname As String, creatorfieldname As String, _
    authorfieldname As String )
    Set Me.db = New NotesDatabase( server, filename )
    Me.server = server
    Me.filename = filename
    Me.MaxHits = MaxHits
    Me.SpecialQuery = SpecialQuery
    Me.subjectfieldname = subjectfieldname
    Me.creatorfieldname = creatorfieldname
    Me.authorfieldname = authorfieldname
    End Sub
    End Class

    Und von wo wird "new()" aufgerufen? Wie ist an der Stelle des Aufrufs "server" vorbelegt?

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Habe selber nicht so viel Ahnung von Lotusscript.
    Deshalb habe ich mal den Code des agenten in ein txt File im Anhang kopiert.
    Villeicht könnt Ihr mir so weiterhelfen.


    Gruss

    Die Zeile 70 interpretiere ich so, dass der Agent aus der Such-DB heraus aufgerufen wird. Dort sind Dokumente angelegt von Datenbanken, die zu durchsuchen sind. Mit Angabe des Servernamen und des DB-Pfades. Und das ist das Problem: der Servername muss eben umgeschrieben werden auf den des Testsystems. Natürlich müssen dort die DB dann eben auch vorhanden sein.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Die Definition von Server und Datenbank, die zu durchsuchen sind, sind nach meiner Meinung im Profildokument "SearchProfile" verdrahtet. Guck mal dort nach.


    Jan

    Hi, habe nirgendswo den Eintrag für den Servernamen gefunden.
    Ich glaube der Agent greift irgendwie auf den Zertifizierer der DB bzw. des Agenten zu.
    Hier nochmal die Fehlermeldung.


    21/01/2011 10:17:12 Error processing certificate created by /Lenze for /Lenze: The subject's public key found in the certificate is not the one stored in our ID file for that entity.
    21/01/2011 10:17:12 Failed to authenticate with server Lenze-Notes1/Lenze: The subject's public key found in the certificate is not the one stored in our ID file for that entity.     Check the local log file for details.
    21/01/2011 10:17:12 Error connecting to server lenze-notes1/Lenze: The subject's public key found in the certificate is not the one stored in our ID file for that entity. Check the local log file for details.


    21/01/2011 10:17:12 HTTP Server: Agent 'twFTSearchAgent' error: Database CN=lenze-notes1/O=Lenze!!AKB\infopool.nsf has not been opened yet


    Wie schon oben geschrieben, hatte ich nach der Kopie der DB auf die Testumgebung die DB mit dem User ID zertifiziert und anshliessend nochmal mit der Server ID.
    Wie kann ich hier weitermachen.

    Und genau das ist das Problem.


    Denn damit erwartet er daß die Zertifikate überinstimmen und das können sie ja nicht.


    Du solltest dich vielleicht mal etwas intensiver mit den Zertifikaten unter Notes beschäftigen

    Zitat


    Wie schon oben geschrieben, hatte ich nach der Kopie der DB auf die Testumgebung die DB mit dem User ID zertifiziert und anshliessend nochmal mit der Server ID.
    Wie kann ich hier weitermachen.


    Und was hat das damit zu tun, was Jan und was ich dir geschrieben haben? Wie wäre es, wenn du einfach mal sinnentnehmend lesen und gewissenhaft prüfen würdest, was dir bereits genannt wurde.


    taurec: bist du sicher, dass das eine weise Entscheidung ist? Hier geht es ja um einen Testserver. Ich bin wirklich nicht der Ansicht, dass Test- und Produktivumgebungen vermischt werden sollten. Von daher ist das ziemlich irrelevant, wie die heissen und ob (Quer-)Zertifiakte und Verbindungsdokumente stimmen. Es solte doch eher die Testumgebung inklusive der darauf befindlichen Daten fachgerecht hergerichtet zu werden.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Danke für die Antworten, habe schon seit 7 Jahren nichts mehr mit Notes gemacht, davor eigentlich auch sehr wenig.
    Jetzt habe ich die Aufgabe bekommen, einen Upgrade von 5 nach 8 zu überprüfen.


    Hierzu habe ich mit mühe den Testserver auf einer VM installiert, der ist mit der produktiven Umgebung nicht verknüpft. Anschliessend hatte ich die DB aus dem produktiven System lokal kopiert und auf die Testumgebung rübergezogen.


    Es ist eine Anwendung die auf mehrere DB basiert. Bis auf die Suche funktioniert auch alles andere.


    Kann ich eigentlich über das Serverdokument oder über die notes.ini Datei den Organisationsnamen ändern.


    Hatte bei meiner erstinstallation über das Serverdokument den Servernamen mal geändert, danach lief der Server niocht mehr.


    Wie ist hier die beste vorgehensweise?


    Gruss und vielen Dank

    RockWilder


    Ja, bin ich mir sicher, denn gerade wenn ich meine User ID aus der Produktivumgebung verwenden will ist es tödlich einen gleichnamigen Certifier mit unterschiedlichem Zertifikat in einer Testumgebung zu verwenden.
    Und das ist ja laut Aussage des Fragestellers der Fall.
    Und Querzertifikate zwischen gleichnamigen Certifiern habe ich zumindest noch nie hinbekommen.


    Meiner Meinung nach sollte eine Testumgebung auch bei den Certifiern eindeutig erkennbar sein, also einen anderen Namen als die Produktivumgebung haben.
    Damit schliesst mein gleichzeitig auch eine Abhängigkeit davon aus, die bei einer zukünftigen Rezertifizierung ggfls Probleme machen kann.


    Denn gerade die Beschreibung des Fragestellers zeigt ja, daß die Signierung nicht funktionieren kann:
    Er signiert die DB mit seiner User ID, also User/Org mit Org-Zertifikat. Jetzt versucht er mit der Server ID zu signieren und der AdminP erkennt, daß er das Certifier Zertifikat des Unterzeichners der DB nicht kennt, weil er das gleiche zertifikat verwendet aber der Schlüssel unterschiedlich ist.

    Ja, das ist schon alles richtig, darin sind wir uns ja einig. Da nun aber das Kind bereits in den Brunnen gefallen ist und scheinbar ein gewisser Nachholbedarf an Kenntnissen exisitert, ist eben die Frage, ob nun alles von vorne aufgerollt wird, bevor sich um den Agenten gekümmert wird oder eben genau anders herum. Die Dokumente in der searchsite zu ändern ist auf jeden Fall mal schneller erledigt, als die Testumgebung gerade zu ziehen. Obwohl das unzweifelhaft direkt als nächstes anzustehen hat. Aber erstmal muss es laufen, schön machen geht hinterher auch noch. Finde ich jedenfalls.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Hast du schon recht. Das grundsätzliche Problem ist aber schon mal ein anderes: Nämlich, daß der Agent niemals richtig ausgeführt werden kann wegen der falschen Signatur.
    Und die bekomme ich auch nur mit entsprechendem manuellen Aufwand weg: nämlich der client-seitigen Signierung mit einer ID der Testumgebung.


    Daher bin ich der Meinung das Glattziehen der Testumgebung wäre der erste Schritt, da darauf alles andere basiert

    Hi,
    was meinst du mit der client-seitigen Signierung mit einer ID der Testumgebung.
    Soll ich die Datenbank auf dem produktiven System mit der cert.id der Testumgebung signieren. Dann kann es doch sein, das es dort nicht mehr funzt.


    Und was meinst du mit der Glattziehung der Testumgebung, sollte ich hier den Server neu installieren und konfigurieren, oder kann ich einfach die cert.id des produktiven Systems nehmen.


    Wenn ich den Testserver neu installiere, fange ich quasi von vorne an, das laufen bringen der anderen DB hat mich schon einige Tage gekostet.

    Unter der Voraussetzung, dass das Testsystem ins Prod. durchgreifen soll. Was ich wie gesagt für suboptimal und in diesem ganz speziellen Fall für schlichtweg unnötig halte.
    Wenn die Dokumente in der searchsite angepasst werden und noch ein paar der zu durchsuchenden DBs ins Testsystem geschaufelt werden, spielt die falsche Cert keine Rolle mehr, da es dann keine Berührungspunkte der Systeme miteinander mehr gibt.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Das produktive System soll nicht mit dem Testsystem kommunizieren. Habe auch keine Verbindungsdokumente erstellt.


    Was meinst du mit anpassen der searchdokumente, es sind tausende von Dokumenten, die in der DB drin sind.