Hilfe, keine Zertifizierungs ID

  • Hallo Forum,


    ich habe versucht ein User-Zertifikat zu verlaengern. Leider bekomme ich die Fehlermeldung "Keine Zertifizierungs ID". Ich habe Admin-Rechte.
    Frage: Kann ich selber so eine Zert-ID erstellen? Und wenn, wie?
    Kann man diesen Mechanismus abschalten? Gibt es noch andere Moeglichkeiten?


    Ich bin ins kalte Wasser geworfen worden, ohne interne Doku oder irgendeine Uebergabe. Da das ganze noch Neuland fuer mich ist, wuerde ich mich ueber etwas ausfuehrlichere Antworten sehr freuen.


    Vielen Dank fuer Eure Muehe


    ZAP8P

  • Die CERT.ID (so heisst sie in der Regel) wurde automatisch erstellt, als ihr den ersten Server Eurer Domäne installiert habt.


    Ohne die CERT.ID kannst Du alle ID´s quasi wegwerfen, weil Du die nicht mehr verlängern kannst.


    Such die CERT.ID und dann kannst Du im Admin-CLient aus der Personenansicht mit dem Werkzaug "Erneut zertifizieren" die Personenzulassungen problemlos verlängern

  • Leider habe ich keine CERT.ID


    Selber so eine ID erstellen geht also nicht?


    Mit anderen Worten: Ich muss jetzt einen komplett neuen Server etc. aufsetzen?


    Buhu!!!


  • Wenn die CERT.ID weg ist musst Du zwangsweise ne neue erstellen - und damit quasi nen neuen server aufsetzen. Es sei denn Ronka kennt wieder nen Trick.... :D


    Bist Du SICHER, dass die CERT.ID weg ist ?

  • Ich bin mir zu 99% sicher das die ID weg ist.
    Ich habe jetzt alle Server abgesucht, jedoch ohne Erfolg.


    Sieht aus wie eine Zeitbombe eines frustrierten und mittlerweile entlassenen Mitarbeiters.


    Thema Neuinstallation: Reicht es, irgendwo eine Dummy Installation durchzufuerren, quasi nur um an das ID-File zu kommen, oder muss die Installation komplett und sauber parametrisiert werden nebst ausschliesslicher Nutzung dieses neuen Servers?

  • Hi,


    wenn die ID wirklich weg ist, dann bist Du mächtig angepi....


    Die CERT.ID ist die Wurzelinstanz - alle anderen Zertifikate werden von dieser ID unterzeichnet. Such also nochmal gründlich nach allem, was *.id heisst. Vielleicht hat der alte Admin diese ja auch nur in firma.id oder firmacert.id öder ähnlich umbenannt.


    Wenn Du die ID dann hast, freu Dich nur nicht zu früh :lol:
    Diese ist nämlich mit einem Passwort versehen

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.

  • Du kannst folgendermassen vorgehen


    1) Dominoi-Server neu installieren auf einen eigenen Rechner, Namen der Server und Domäne MUSS identisch mit dem bisherigen Namen sein. Dadurch erhälst Du die erster SERVER.ID und die CERT.ID
    2) Neues registrieren aller Server und Benutzer. Dadurch erhälst Du die restlichen SERVER.IDs und USER.ID´s
    3) Kopieren aller Dokumente, die Schlüssel enthalten (Server-Dokumente, Personendokumente) aus dem neuen Adressbuch in das alte. Diese DOkumente müssen dann von Hand neu konfiguriert werden. Alkternativ kann man auch nur die Werte aus den Schlüsselfeldern von Hand rüberkopieren
    4) Querzulassungen (falls vorhanden) neu ausstellen
    5) Alle IDs neu verteilen


    So, das ist zwar nur ein kurzer Abriß aber so klappts. Arbeistaufwand ca. einen Tag - je nach Größe der Domäne.


    ACHTUNG: Verschlüsselte Mail sollten vorher ENTSCHLÜSSELT werden, sonst sind die futsch !!

  • Ich weiß, es nützt Dir jetzt nicht viel, aber das sagt der BSI dazu.


    Speziell der Punkt "Nach der Installation"

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.

  • Mann sollte vielleicht nochmal den älteste sicherung die im haus existiert durch wühlen.. Es ist letztendlich egal wie alt der certifiert ist, der würde normalerweise immer funktionieren.
    Dabei ist es wichtig vom älteste band/sicherung alle *.id dateien zu holen, weil es gibt tatsächlich admins die das ding umbenennen (ich z.B. selber auch)

  • Ich gehe mal davon aus, das dieser Thread noch nicht wirklich abgeschlossen ist.
    Wer nur ein wenig Sicherheitsverständnis hat wird ID-Dateien mit Sicherheit nicht auf einem File-System im Netzwerk ablegen. Ganz besonders dann nicht, wenn es sich um eine Certifier-ID handelt.
    Wenn ich richtig gelesen habe, dann ist derjenige, der den ersten Server mal aufgesetzt hat mittlerweile nicht mehr in der Firma. Das ist natürlich etwas Pech, vor allem dann, wenn derjenige etwas missgestimmt den Laden verlassen hat.
    Dennoch... ist es nicht möglich, diesen Menschen ausfindig zu machen und nach dem Vorgang zu befragen? Nach meinem persönlichen Rechtsverständnis heraus hat dieser bei vorsätzlicher (muss natürlich nachweisbar sein) Zerstörung oder Beseitigung von Produktivdateien aus dem Firmenbetrieb (und dazu gehört natürlich auch die gesuchte ID) nicht gerade legal gehandelt. Das aber nur am Rande... Ich würde auf alle Fälle nicht nur die Datensicherungen sondern vor allem die externen Datenträger (FDD etc) komplett durchchecken.
    Sollte das Ding dennoch auf dem File-System rumschlummern und vieleicht umbenant sein, so kann man mit Sicherheit auch die Platteninhalte nicht nur nach Dateinamen, sondern auch nach Dateiinhalten durchsuchen lassen.
    So eine ID sieht zwar im Editor recht kryptisch aus, aber gewissen Infos stehen doch noch im Klartext drin. Eine Inhaltssuche auf den Platten in allen Ordnern und Dateien (*.*) z.B. nach dem Text
    OU=Org-Einheit/O=Firma/C=DE (lässt sich aus der eigenen ID auch ableiten, was hier gesucht werden sollte)
    könnte vieleicht auch zum gewünschten Sucherfolg beitragen.

    (¯`·._ (¯`·._-=- The only easy day was yesterday -=-_.·´¯)_.·´¯)