Serverfehler

    Hi Leutz,


    ich habe eben auf einem 6ser Server einen User erstellt. Nun wenn ich versuche mit der ID dieses Users eine Verbindung aufzubauen erhalte ich die Meldung:


    serverfehler: ihr zertifikat wurde noch nicht von der zertifizierungsstelle signiert. Versuchen Sie es später nochmal.


    Den User habe ich bereits mehrmals recertified. Was muss da genau gemacht werden!??


    Danke für euro Hilfe

    Hi,


    hast Du den User direkt unter der [O] oder unter einer [OU] registriert? Falls es eine [OU] war, ist unter Zertifikate der entsprechende Eintrag im Admin Client zu sehen?


    Läuft der AdminP korrekt?


    Was passiert, wenn Du einen zweiten/anderen User anlegst und einen Client aufsetzt bzw. auf den Server zugreifst?


    Hast Du den Server mal gebootet?


    Sascha

    Ich vermute du hast die Benutzerregistrierung mit dem CA Prozeß durchgeführt. In dem Fall solltest du sicherstellen daß:


    - der Certifier korrekt migriert wurde
    - der CA Prozeß läuft
    - der Certifier der für die Registrierung angegeben wurde auch aktiviert wurde.

    achso untschuldige....das hab ich nich erwähnt. natürlich hab ich den ca process zur registrierung genutzt. und klar......der muss ja laufen.


    kann ich mit diesem user einfach ein recertify machen (vorher den ca process starten)?? sollte dann funzten oder?

    nein - dein recertify macht dein problem nur noch schlimmer da man sinngemäß ja nur etwas rezertifizieren kann was bereits zertifiziert wurde! je öfter du das zertifizieren anstößt umso mehr probleme handelst du dir ein.


    der ca prozeß läuft sinngemäß und in kurzen worten so ab:


    - Nutzer wird registriert, dabei wird eine unvollständige (weil unzertifizierte) ID erzeugt und im Personendokument "zwischengeparkt"
    - der CA erhält die Anweisung in seiner Arbeitsqueue "1 ID mit Certifier /XYZ zertifizieren"
    - der CA arbeitet alle Aufgabenqueues ab sobald der Zertifizierer (/XYZ) aktiviert (freigeschaltet) wurde.
    - die ID im Personendokument wird vervollständigt und ist danach einsatzbereit


    Wenn du immer wieder rezertifizierst wird für ein und dieselbe ID mehrfach das Zertifizieren in die Queue gestellt, somit kann das Ergebnis durchaus im Chaos enden (zumindest für diese eine ID). Bestenfalls hagelts ein paar Fehlermeldungen, wenn du widersprüchliche Angaben bei der Zertifizierung gemacht hast.


    Um die Queue abzuarbeiten muß (wie von mir im letzten Post bereits erwähnt) der CA laufen und alle migrierten Certifier müssen aktiviert sein! Ob sie aktiv oder inaktiv sind kann man mit "tell ca stat" an der Console überprüfen.

    ok. also was ich halt gemacht hab bislang ist den user rezertifiziert mit dem CA (bereits zwei mal schon). naja is halt passiert jetzt. ich hab auch des öfteren versucht den ca process zu starten aber ohne erfolg. wenn ich auf der shell tell ca stat eingebe, sagt er mir enweder akzeptiert der ca kein tell befehl oder es gibt keinen ca task. läuft das auf einem 6.02 das ganze anders ab oder kann der befehl tatsächlich anders sein!

    Wird der CA unter show tasks angezeigt? Wenn nicht, was passiert wenn du load ca machst?


    Nebenbei ... ich frage mich ernsthaft wie du die Migration des Certifiers überhaupt hinbekommen hast damit der als Auswahl bei der Registrierung zur Verfügung steht ;p

    nee das is nich die frage die du dir stellen solltest. die frage die du stellen solltest ist, läuft der ca überhaupt? und da kann ich sagen nein....der läuft nicht. also load ca......und dann wird auch schon der user signiert und irgendwann sollte ich mir einfach die id kopieren aus dem user dok. und alles sollte funtzen oder?

    ganz so simpel ists nicht, anscheinend hast du immer noch nicht verstanden wie der ca funktioniert...


    Das Starten des CA macht erstmal gar nichts, außer eben den Prozeß zum Laufen zu bringen. Danach holt sich der Prozeß (automatisch) die Liste der Zertifikate, die dafür hinterlegt wurden. Damit nicht jeder Nutzer jetzt wie er will neue Personen registrieren kann sind die Zertifikate bei der Migration von dir gesichert worden:


    - ungesichert (schlimmste Variante weil sehr riskant - der CA führt die Zertifizierungen jederzeit aus sobald er läuft)
    - gesichert mittels passwort (halbwegs sicher - mittels "tell ca activate [idnr] [spezielles kennwort]" wird der Zertifizierer aktiviert und läuft nun solange der CA läuft oder bis zum Serverneustart permanent)
    - gesichert mittels sperr-id (sicher - mittels "tell ca unlock [sperr-id] [idnr] [kennwort]" wird das Zertifikat wiederum für die Dauer des Laufs des CA freigeschaltet)


    Welche der 3 Varianten zur Sicherung du beim Migrieren verwendet hast mußt du allerdings schon selber wissen...