Помогите с сертификатами (PKIDIAG не помогает)....

[Кирилл Яновский]

Сервер NW 6.5 SP4. Работает в качестве шлюза интернет (ВМ, почта), 2 интерфейса
Когда-то давно сменился внешний IP, вроде сделали все по инструкциям.
Точно уже не помню, было это полгода-год назад.
Тогда же при обращении на внешний адрес (https://217.77.213.150/) появилась ругань на сертификаты, в том плане, что принадлежат не тому адресу.
Не смотря на эту ругань, все работало нормально. И снаружи (web-mail) и внутри (i-manager, и пр.).

Неделю назад, судя по всему, после установки eDirectory 8.7.3 SP10, хотя могу и ошибаться, не сразу заметил, оказалось, что сертификатов на этом сервере у меня вообще нет.
Ни SSL CertificateDNS, ни SSL CertificateIP, ни SSL Apache. Вернее, они видны, и в консоле1 и в НВАдмине, но при обращении к ним долго думает и выдает ошибку Can't read certificate. Error code: 34841.
Причем замечено - пока "думает" - сервак даже диски не показывает, загрузка проца под 100%, грузит - server.exe". Потом "отпускает" до обычных 10-15%.
Ладно, думаю, проблемы с сетификатами уже бывали раньше, как бороться, знаем - пускаю PKIDIAG. Находит 2 ошибки, но пофиксить не может.
Удаляю эти сертификаты (вместе с SAS, как в самом ближайшем к этому ТИДе - http://support.novell.com/docs/Tids/Sol ... 92318.html) - PKIDIAG радостно находит ошибки, исправляет их. Повторный запуск приводит к тому же, что писал раньше, но теперь на SSL CertificateDNS и SSL Apache даже не ругаеться, хотя они реально недоступны:
....
Step 3 Verifying the links to the KMOs
Reading the links for SAS Service object 'SAS Service - INET.MDAU'.
--->KMO SSL Apache - INET.MDAU is linked.
--->KMO SSL CertificateIP - INET.MDAU is linked.
--->KMO SSL CertificateDNS - INET.MDAU is linked.
Step 3 succeeded.
Step 4 Verifying the KMOs
---> Testing KMO 'SSL CertificateDNS - INET.MDAU'.
Rights check -- OK.
Back link -- OK.
Private Key -- OK.
---> Testing KMO 'SSL CertificateIP - INET.MDAU'.
Rights check -- OK.
Back link -- OK.
Private Key -- OK.
---> Testing KMO 'SSL Apache - INET.MDAU'.
Rights check -- OK.
Back link -- OK.
Private Key -- OK.
Step 4 succeeded.
Step 5 Re-verifying the links to the KMOs
Reading the links for SAS Service object 'SAS Service - INET.MDAU'.
KMO 'SSL Apache - INET.MDAU' is linked.
KMO 'SSL CertificateIP - INET.MDAU' is linked.
KMO 'SSL CertificateDNS - INET.MDAU' is linked.
Step 5 succeeded.
Step 6 Creating IP and DNS Certificates if necessary.
--> Number of Server IP addresses = 2
--> The default IP address is: 192.168.1.2
--> However, this session will use the IP address you entered.
--> Setting the default IP address to: 217.77.213.150.
PROBLEM: A SSL CertificateIP does not exist
Step 6 failed 35088.

Note: Occasionally multiple problems will be solved with a single fix.

Fixable problems found: 1
Problems fixed: 0
Un-fixable problems found: 0

Получаеться PKIDIAG фиксит сертификаты, а потом сама же их и не видит. Видимо - не фиксит. Ошибку - 35088 нигде не нашел.
Пробовал еще IManager-м 2.7, который локальный, на яве.
Результат еще хуже - при выборе "Repair default certificates" надолго задумываеться после выбора сервера и все... Ждал как-то полдня, не помогло - песочные часы.
Подскажите, чем эти сертификаты сделать?
В поиске - все дороги ведут к PKIDIAG, а толку?

[Андрей Фисенко]

Всё-таки, все дороги ведут к iManager.
Ставьте 2.7 (можно локальную), с сайта качайте последний к ней PKI Plug-In.
Затем СНАЧАЛА проверьте ваш объект Certificate Authority.
Если с ним проблемы - ПРОСТО ПЕРЕСОЗНАЙТЕ ЕГО. (Т.е. удалите и создайте новый - не бойтесь, сертификатам ничего не будет)
А потом уже все серваки проверьте на правильность сертификатов (с созданием новых в случае проблем).
Результат у меня - 10 раз из 10 починилось всё.

[Кирилл Яновский]

Всё-таки, все дороги ведут к iManager.
Ставьте 2.7 (можно локальную), с сайта качайте последний к ней PKI Plug-In.

Вот именно им и пробовал. Причем проверил только что - мои плагины чуть новее, чем все, что выдает поиск по новелю. (Implementation-Version: 3.300.20070917).

Затем СНАЧАЛА проверьте ваш объект Certificate Authority.

CA Organization.Security - оно? Но я его вижу в консоли1 и нвадмине, проверил, пишет - все ок. Хотя, что значит "проверить"? В консоле проверил подлинность - сказала ДОСТОВЕРНО, в НВАдмине сказал - RENEW - вылетела ошибка - can't renew the tree CA's certificate.
А в Именеджере не могу найти, как пункт меню зоветься? [/quote]

Если с ним проблемы - ПРОСТО ПЕРЕСОЗНАЙТЕ ЕГО. (Т.е. удалите и создайте новый - не бойтесь, сертификатам ничего не будет)
А потом уже все серваки проверьте на правильность сертификатов (с созданием новых в случае проблем).
Результат у меня - 10 раз из 10 починилось всё.

Все таки грохать именно CA Organization.Security ? Или я чтото не то "нашел"?
Спасибо огромное за советы!!

[Кирилл Яновский]

Андрей Фисенко, подскажите, пожалуйста, как "проверить" СА?
На предмет чего проверить?