Hallo Dani,
ich kämpfe hier mit dem gleichen Problem, wobei die Zwischenzertifikate zum Glück bei uns noch nicht abgelaufen sind.
Ich bin inzwischen soweit gekommen, dass ich mit einer erneuten Zertifizierung eines Users mit dem obersten Zertifizierer (O) diesen für die Standard Adminp Vorgänge wie Rezertifzierung, Umbenennung u.ä. wieder funktionsfähig bekomme.
Der Rollover der User IDs konnte nämlich nicht umgesetzt werden, da sonst die Zertifikatskette unterbrochen wird, sprich die O und OU der UserID werden beim Rollover nicht aktualisiert und der User damit abgehängt.
Eine erneute Zertifzierung mit dem entsprechenden OU Zertifizierer und schon sieht die Zertifikatskette wieder OK aus und alle üblichen Dinge wie adminp, ID Vault und Co laufen wieder.
Das Problem ist nur, dass die User dennoch in ihrer lokalen log.nsf täglich Fehler bekommen, z.B.
wenn diese mit der O Rezertifiziert werden:
Fehler bei der Verarbeitung des Zertifikats, das von /O für /O erstellt wurde: Der öffentliche Schlüssel in dem Zertifikat ist nicht der Schlüssel, der für diese Entität in unserer ID-Datei gespeichert ist.
Und wenn diese dann wieder mit der OU Rezertifziert werden:
Fehler bei der Verarbeitung des Zertifikats, das von /O für /OU/O erstellt wurde: Die Signatur auf dem Zertifikat ist ungültig. Details finden Sie im Protokoll. bzw.
Dabei stimmen die öffentlichen Schlüssel der Zertfizierer mit denen des NAB überein, ebenso auch die Zertfizierer Kennung der Zertifzierer IDs mit denen des NAB und der UserIDs.
Ich kann somit keinen Bruch in der Zertifikatskette erkennen und IBM sucht ebenfalls seit Wochen nach einer Lösung.
So langsam aber sicher bin ich ratlos ...
Grüße von
Sebastian