Neuer Client, alter Benuter: Server Error: Your certificate has not jet been signed...

  • Hallo zusammen,


    ich habe ein seltsames Problem, dass ich noch nicht so gesehen habe.


    Wir haben einen bestehenden Benutzer, der ein neues Notebook bekommen soll. Allerdings kann ich das Notes nicht anmelden.

    Nach dem Setup gebe ich Benutzer, Server und Passwort ein und erhalte die Meldung:

    Server Error: Your certificate has not jet been signed by the Certificate Authority. Try again later.

    Diese Meldung steht auch im Server, die Verbindung geht also.

    Ich habe den Benutzer neu zertifiziert, ohne Erfolg.

    Neue ID aus der Vault exportiert, kein Erfolg.

    Der Benutzer arbeitet problemlos an seinem aktuellen Rechner.

    Eine doppelte Anmeldung habe ich auch ausgeschlossen.

    Zudem kann ich die ID auf einem anderen Notes Client via switch ID nutzen, nur die Anmeldung am neuen Rechner mag nicht. Den Rechner/Client haben wir auch gewechselt, bringt nichts.

    Zu guter Letzt habe ich dann einen anderen Benutzer an diesem Rechner anmelden wollen aber das schlägt auch fehlt.


    Der Domino hat Version 9, die Clients 8.5.3.


    Hat jemand eine Idee was das sein könnte?

  • Nein aber danke, das hat schonmal etwas geholfen. In den Admin Requests / Certification Authority Requests / Certificate Requests ist das Zerti für den Benutzer (und viele andere) nur bis 11.17 gültig. Im nächsten Schritt habe ich mit tell ca stat erfahren, dass der CA task offensichtlich nicht läuft. Die Server sind letztes Jahr umgezogen, vielleicht deshalb. Bisher habe ich keine Ahnung wie ich den CA starte, scheint ein Servertask zu sein. Das ist zumindest der nächste Ansatz...

  • Eine ID, die bereits im November letzten Jahres abgelaufen sein soll, lässt sich einmal zur Anmeldung am Server benutzen und ein anderes Mal nicht? Kommt mir spanisch vor. Wirklich sicher, dass du immer mit der selben ID schaffst und nicht mit mehreren? Was sagen die ID-Properties bzgl. Ablaufdatum bei den verschiedenen ID, die du verwendest?


    Zitat

    Ich habe den Benutzer neu zertifiziert, ohne Erfolg.

    Und der adminp ist auch schon durch? Fehlerfrei, selbstverständlich!

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

  • Also die ID kann ich öffnen und in den Eigenschaften stehen auch die neuen Daten drin. Also 2 Zertifikate bis 2023 gültig.

    In den Admin Requests / Certification Authority Requests / Certificate Requests steht aber immer noch 'Valid until 15.11.2017 13:56:17'

    Den CA-Task habe ich gestern gestartet, wenn ich aber den Status abfrage ist die Antwort leer.

    [14745:00002-00007FF053706720] 07/06/2018 11:42:44 AM CA Process Status:

    Das ist alles. Da müsste ja eigentlich was stehen oder nicht?


    Das Problem tritt nur bei der Anmeldung auf. Neuer Notes-Client und ich tippe Namen, Server und Passwort ein. Dann gehts nicht. Wenn ich über Switch ID gehe, gehts...

  • Habt ihr überhaupt eine CA eingerichtet? Den Task zu starten ist nur die halbe Wahrheit.

    Wenn du in der admin4.nsf siehst, dass die ID noch nicht verlängert wurde (wann und wie hast du den Renew Request überhaupt angestoßen?), dann wäre der adminp eigentlich die erste Anlaufstelle und nicht die CA (so sie denn eingerichtet ist). In der admin4.nsf siehst du auch etwaige Fehler, die beim Renew aufgetreten sein können.


    Du sagst: "Wenn ich über Switch ID gehe, gehts...". Auf welcher Maschine switcht du welche ID? Wirklich sicher, dass es das selbe File ist und nicht nur eines mit gleichem Namen? Weil: es macht keinen Sinn, dass ein abgelaufenes Zertifikat bei einer Neuanmeldung nicht tut (so soll es sein) und auf einer anderen Maschine eben doch (das darf nicht sein!).


    /Nachtrag:

    was passiert, wenn du die ID, zu der du switcht, auf die neu eingerichtete Maschine kopierst und ein Login versuchst?

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

  • Ich nehme die exportierte ID und öffne sie z.B. in meinem Notes. Das geht. Bei der Neuanmeldung kann ich nur Namen und Passwort eintippen, zur ID-Wahl komme ich erst gar nicht. Die gibts ja eh nur wenn der Name unbekannt ist. Sonst zieht er sich die Daten vom Domino.


    Bei der EInrichtung der CA bin ich sehr skeptisch. Ich werde das erstmal prüfen lassen bevor ich weitermache.

  • Ihr habt einen ID Vault, da hantiert man nicht mehr mit ID Dateien am Client. Rezertifiziert wird mit CA.


    Die Meldung "Your certificate has not jet been signed by the Certificate Authority. Try again later." besagt, dass der CA Prozeß die ID noch nicht bearbeitet hat. Dazu muss natürlich der Prozeß auch laufen (load ca) und für die Certifier aktiv sein (tell ca status). Inaktive Certifier müssen aktiviert werden, manchmal wird dazu ein Passwort benötigt (tell ca activate nr passwort). Das PW ist in der CA Konfiguration hinterlegt und sollte irgendwo dokumentiert sein.


    Wenn die Voraussetzungen stimmen kann man mit 'tell adminp proc all' etwas nachhelfen, die Anforderungen schneller abzuarbeiten.


    Wenn mehrere Server beteiligt sind muss man zwischen den Servern die admin4.nsf und names.nsf replizieren um Anforderungen und Ergebnisse zu übertragen und den AdminP möglicherweise sowohl auf dem Homeserver des Nutzers als auch dem/n ID Vault Server(n) etwas triggern (siehe oben).

  • "Exportierte ID"? ... Von wo exportiert? Ich dachte, wir reden vom ID-File, das auf dem neu eingerichteten Laptop zur Anmeldung nicht taugt und das du auf deine Maschine kopiert hast?


    "öffne sie z.B. in meinem Notes" ... "öffnen" != "zur Anmeldung verwenden". Bitte korrekte Termini verwenden, sonst redet jeder am anderen vorbei.


    "zur ID-Wahl komme ich erst gar nicht" ... doch, selbstverständlich! Hat man mehrere AUs eingerichtet, hat man im Login-Fenster ein Dropdown-Feld, aus dem man die zu verwendende ID (genauer: das zu verwendende AU-Dokument) auswählen kann; angezeigt wird der Notesname ("Dein Name/Certifier/DE" und "Der Andere/Certifier/DE").


    Weiters hast du gesagt, dass du mittels "Switch ID" die ID wechselst: deiner Beschriebung nach kann das nicht hinkommen. Nach der ID wirst du nur dann nicht gefragt, wenn die ID im Arbeitsumgebungsdokument korrekt hinterlegt ist. Soweit, so richtig. Gehst du über "Switch ID", wird dir ein Dateiauswahldialog präsentiert, mittels dessen du eine andere ID auswählen kannst.


    "Sonst zieht er sich die Daten vom Domino" ... falsch! Das AU-Dokument wird nur aktualisiert, bzw. fehlende Werte nachgetragen, wenn das Dokument nicht korrekt ausgefüllt ist (bspw. Mailserver o.ä.). Ist es das (sprich: alle Angaben entsprechen dem korrespondierendem Personendokument im DD), wird sich nix von nirgendwo gezogen.


    Bitte lies in der Hilfe und/oder in der IBM-Knowledgebase nach, wie man seinen Client so einrichtet, dass mit mehreren Arbeitsumgebungen geschafft werden kann. Dort ist auch beschrieben, wie man

    a) ID wechselt

    b) IDs auf ihre Gültigkeit prüft

    c) IDs rezertifiziert

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl