proNovell

необходимо перенести sertificate authority с одного сервера на другой (с NW51 на NW51). сертификаты на серверах 5.1 пересоздаются PKIDIAG, а как на сервере 6.5 пересоздать сертификаты типа
DNS AG...
IP AG...

точно так же

только пересоздавать их не обязательно

DNS AG...
IP AG...

могу ошибаться, но они на самом деле не используются и создаются просто для унификации (AG значит auto-generated)

если pkidiag версии 2.70 и он все равно их не пересоздает, то фиг с ними

Damm писал(а):они на самом деле не используются и создаются просто для унификации (AG значит auto-generated

А вы попробуйте их удалить и зайти на iManager, например.

Андрей Фисенко писал(а):А вы попробуйте их удалить и зайти на iManager, например.

ну во-первых я написал, что могу ошибаться, так что ваша ирония не совсем понятна

а во вторых, iManager прекрасно работает и без этих сертификатов

Damm писал(а): а во вторых, iManager прекрасно работает и без ... сертификатов

о как. Допустим. Т.е. без ssl. ню-ню...

2Damm

Damm писал(а):...ваша ирония не совсем понятна

Где Вы видите иронию? Я просто посоветовал попробовать.
Если iManager работает без SSL сертификатов, это же прекрасно!
Попробуйте следом eGuide, NetStorage, iMonitor, etc...
И никакой иронии.

PS.
Если вы при ответе можете признавать, что ошибаетесь, то лучше подумать сначала, давать такой совет людям или нет. Особенно, если речь идет об удалении объектов в eDirectory. А если человек последовал вашему совету и удалил? Хорошо, что есть pkidiag.nlm А как быть тем, кто на Linux?

Андрей Фисенко писал(а):Если iManager работает без SSL сертификатов, это же прекрасно!
Попробуйте следом eGuide, NetStorage, iMonitor, etc...
И никакой иронии.

Я позволю все-таки себе сделать вывод что ответа на вопрос о том где и каким приложением используются AG сертификаты вы не знаете. В противном случае вам проще было бы ответить на изначально поставленный вопрос чем вступать в словесные баталии.

Андрей Фисенко писал(а):Если вы при ответе можете признавать, что ошибаетесь, то лучше подумать сначала, давать такой совет людям или нет. Особенно, если речь идет об удалении объектов в eDirectory. А если человек последовал вашему совету и удалил? Хорошо, что есть pkidiag.nlm А как быть тем, кто на Linux?

Будьте так добры, покажите где и когда в этом треде я советовал человеку задавшему вопрос удалить что-либо из eDirectory.

Damm писал(а):Будьте так добры, покажите где и когда в этом треде я советовал человеку задавшему вопрос удалить что-либо из eDirectory.

Ну да, я приношу свои извинения, не было такого.
Если дома у Вас есть ненужные вещи, Вы от них тоже не избавляетесь?
Например, ненужные ключи от входной двери...
Ну да, дома вещей с признаком AG у Вас нет.
Еще раз приношу свои извинения.

Андрей Фисенко писал(а):Еще раз приношу свои извинения.

Принято, нет проблем. Я тоже признаю что слишком эмоционально воспринял данный спор.

Автору треда я еще раз посоветую отставить AG сертификаты как есть а если будут проблемы с SSL - написать сюда

Damm писал(а):Принято, нет проблем.

Замётано.

2Сергей Тюкалов
Проще всего - это убить CA объект в дереве и все SAS объекты серверов. (Можно и без убивания, но это надо долго рассказывать, как)
Потом сделать СА руками и привязать его к новому серверу.
А затем прогнать по серверам pkidiag.nlm Он создаст SAS объекты и перепроверит сертификаты.
Единственное, что у вас может отвалиться, это сервисы, которые себе импортнули в JRE старый Self-Signed сертификат дерева.
Это файл(ы) cacert и всякого рода .key .b64
Встречаются редко, но бывает. Особенно для Tomcat. Я под линуксом таких нашел три. Пришлось руками генерить и подсовывать новый сертификат.

Господа, что ж Вы так боитесь изменять объекты сертификатов?

Вы можете смело удалить их руками и пересоздать (напрмер, при помощи C1) без всяких pkidiag. Главное, чтобы имена объектов соответсвовали удалённым, тогда использующие приложения без проблем их найдут.

И небольшая заметка. iManager, eGiude и иже с ними используют собственно apache для поддержки SSL. посмотрите sys:\apache2\conf\httpd.conf и sys:\adminsrv\conf\adminserv.conf на предмет используемых сертификатов. У меня, например, это "SLL CertificateDNS" и "SSL certificateIP" соответственно.

Алексей Волков писал(а):... без всяких pkidiag.

Пока его не было и для тех кто хоть раз по-настоящему наступал на ети грабли - pkidiag очень ценный инструмент, не зря ж его изобрели.

пересоздал СА SAS сертификаты, и действительно отвалился томкат, как его поднять теперь?