Probleme nach Ablauf des Austauschzertifikats

    Hallo zusammen,


    vielleicht hat jemand von euch einen Tipp zu folgendem Problem. IBM ist zwar auch schon eingeschaltet, aber die lassen ein wenig auf sich warten.


    Wir haben vor knapp 3 Jahren einen key rollover unserer O und OU IDs angestoßen. Damals haben angegeben, dass das alte Zertifikat (630 Bit) nach 990 Tagen seine Gültigkeit verliert.
    Letzte Woche sind diese 990 Tage abgelaufen. Und just gibt es Fehler ohne Ende.
    Im Log der Benutzer und auf dem Server gibt es zu Hauf folgendes:
    "Fehler bei der Verarbeitung des Zertifikats, das von /xxx für /xxx erstellt wurde: Der öffentliche Schlüssel in dem Zertifikat ist nicht der Schlüssel, der für diese Entität in unserer ID-Datei gespeichert ist."
    Wir können zudem kein Kennwort mehr über den ID-Vault zurücksetzen (Fehler: Die ID konnte im ID Vault nicht gefunden werden).
    Erstellen eines neuen Benutzers geht - allerdings ohne Upload in den ID-Vault.
    Alle Richtlinien-Dokumente sind davon nun auch betroffen.
    Der Server sagt dazu laufend:
    "Problem with signature on policy document /abc or one of the policy setting documents it specifies: The subject's public key found in the certificate is not the one stored in our ID file for that entity."


    Hier wurde mein externer Kollege weg-rationalisiert, sodass ich gerade auf dem Schlauch stehe und im Trüben fische.
    Die Zertifikate an sich sind noch bis 2100 gültig.
    Aber das Austauschzertifikat hat jetzt seinen Geist aufgegeben und damit seine Gültigkeit. Aber sollte das solche Auswirkungen haben?!
    Wenn ich mir die OU und O Zertifikate ansehe und dort die Option "Notes-Zertifikate überprüfen" wähle, sind zwei Einträge des "Grundzertifikats" zu sehen, aber jeweils mit 1024 Bit. Da steht nichts mehr vom alten 630 Bit Schlüssel.
    Auf meiner ID unter Benutzersicherheit finde ich auch keinerlei "alte" 630 Bit Angaben mehr.
    Irgendwie fehlt mir gerade der umfassendere Blick - und IBM und Irland scheinen noch zu schlafen, trotz Prio1.
    Auch die Rücksicherung eines alten Stands von vor 2 Wochen bringt mir (noch) nicht so viel andere Erkenntnis.


    Ach, als Ergänzung noch: Als wir damals den key rollover angestoßen haben, hatten wir das falsche "How-To" Dokument und somit vergessen die ID-Vault vorübergehend zu deaktivieren. Das hatte mich dann lange noch beschäftigt, damit das wieder klappt. Könnte das jetzt hier solche Nachwehen verursachen?


    Ich danke für jeden Hinweis, dem ich noch nachgehen kann.


    Danke und Gruß
    Dani

    Hallo Dani,


    ich kämpfe hier mit dem gleichen Problem, wobei die Zwischenzertifikate zum Glück bei uns noch nicht abgelaufen sind.
    Ich bin inzwischen soweit gekommen, dass ich mit einer erneuten Zertifizierung eines Users mit dem obersten Zertifizierer (O) diesen für die Standard Adminp Vorgänge wie Rezertifzierung, Umbenennung u.ä. wieder funktionsfähig bekomme.
    Der Rollover der User IDs konnte nämlich nicht umgesetzt werden, da sonst die Zertifikatskette unterbrochen wird, sprich die O und OU der UserID werden beim Rollover nicht aktualisiert und der User damit abgehängt.
    Eine erneute Zertifzierung mit dem entsprechenden OU Zertifizierer und schon sieht die Zertifikatskette wieder OK aus und alle üblichen Dinge wie adminp, ID Vault und Co laufen wieder.
    Das Problem ist nur, dass die User dennoch in ihrer lokalen log.nsf täglich Fehler bekommen, z.B.
    wenn diese mit der O Rezertifiziert werden:
    Fehler bei der Verarbeitung des Zertifikats, das von /O für /O erstellt wurde: Der öffentliche Schlüssel in dem Zertifikat ist nicht der Schlüssel, der für diese Entität in unserer ID-Datei gespeichert ist.


    Und wenn diese dann wieder mit der OU Rezertifziert werden:
    Fehler bei der Verarbeitung des Zertifikats, das von /O für /OU/O erstellt wurde: Die Signatur auf dem Zertifikat ist ungültig. Details finden Sie im Protokoll. bzw.


    Dabei stimmen die öffentlichen Schlüssel der Zertfizierer mit denen des NAB überein, ebenso auch die Zertfizierer Kennung der Zertifzierer IDs mit denen des NAB und der UserIDs.


    Ich kann somit keinen Bruch in der Zertifikatskette erkennen und IBM sucht ebenfalls seit Wochen nach einer Lösung.
    So langsam aber sicher bin ich ratlos ...


    Grüße von
    Sebastian