Проблемы в Дереве. КАК?

[Музалёв Николай]

Сергей, еще раз спасибо.
На счет локализации - пошлите ему мою картинку, скажите "процесс пошёл..."

Однако Дерево еще не совсем в порядке.
Таки остаётся желтым один из объектов: SAS Service.
И походя выяснилось, что на этом же сервер просрочены сертификаты SSL
Моих знаний не хватает сказать, как связаны ( и связаны ли) эти события.

Так или иначе - надо бы чинить.

Потому
вопрос 1: как разобраться с сертификатами? PKIDIAG ??
вопрос 2: как разобраться с желтым объектом SAS? снести и создать заново? только его ?

Есть ТИД 10050254 (Reinstallation of Certificate Server ), но его как то недостаточно.
Во-первых из него не оч. ясно - нужно ли в такой ситуации сносить и пересоздать весь сервис, или таки можно - только сбойный объект.
во-вторых - инструкция там таки не пошаговая.

Потому если кто из коллег делал подобную операцию ( напомню: продление срока сертификата на одном из серверов и исправление объекта SAS на нём же - не поленитесь изложить свой опыт в стиле "делай-раз, делай-два"...

Спасибо.

[Владимир Горяев]

SASI.NLM поможет создать секурные обекты, потом pkdiag сертификаты.

http://support.novell.com/cgi-bin/searc ... 013773.htm
http://support.novell.com/techcenter/ar ... 20501.html
http://support.novell.com/cgi-bin/searc ... 095013.htm

[Музалёв Николай]

SASI.NLM поможет

А что делать с существующими объектами? самому их прибить? или их прибитие предполагается как часть пересоздания?

По тиду 10013773 предполагается, что само сделает. Но хочется ясности.

[Владимир Горяев]

прибить вручную
потом sasi

[Музалёв Николай]

прибить вручную

Спасибо, сертификаты SSL SertificateDNS / SSL SertificateIP созданы.
Вроде прошло успешно.

А как насчёт второй пары - DNS AG.... и IP AG.... Их как создавать надо? (или - кто их должен создать?)

[Сергей Дубров]

А как насчёт второй пары - DNS AG.... и IP AG.... Их как создавать надо? (или - кто их должен создать?)

"NOTE: PKIDIAG will update the certificate information for the SSL Certificate DNS, and SSL Certificate IP objects associated with your servers. The IP AG certificate for your server, which is created by default during a server install, will not be updated. That certificate was created but not used for any purpose (by default) and can simply be deleted."

How do I move the Organizational CA to another server?

[Музалёв Николай]

Как сказала на соседнем форуме коллега - "что бы я без вас делала".
Спасибо Владимиру и Сергею: в практическом плане проблема решена.

Осталось несколько теоритич. вопросов, если вам еще не надоело.
1
Читаем протокол PKIDIAG:

PROBLEM: Cannot use private key for KMO 'SSL CertificateDNS - HOMER.GERMOZONA.OAP.BGD'. It should be probably be unlinked and deleted.

Удалить не проблема. Но что в данном контексте означает АнЛинк?
Это меня несколько смутило и удерживало от скоропалительного удаления.

2
Где можно прочесть (или вы, если можно) простыми человеч. словами (так, чтобы можно было объяснить начальству) что такое сертификат вообще и данном случае?

Как не смешно покажется, а вот понятием оперирую, но членораздельно объяснить - в отличии от ключей, например - не хватет знаний.
(Чтение на ночь документа "Understanding and Trouble-shooting Novell's Security Infrastructure" (а также упоминаемых в нем доп. матералов, типа Business and Technical Aspects of Public Key Infrastructure Deployment) туману только добавило...)