Quando si crea un ID Vault, il processo crea automaticamente un certificato collegato al Vault stesso che ne gestisce la sicurezza ed in fase di creazione la validità del certificato è automaticamente impostata a 10 anni.

Questo significa che chi ha creato l’ID Vault subito dopo il deploy della versione 8.5 è arrivato o sta per arrivare alla scadenza della validità di questo certificato.
Quali sono le conseguenze ?

“Semplicemente” non potete più operare sul Vault : ad esempio se cercate di resettare una password tramite l’ Id Vault ottenete un messaggio di questo tipo : “Server error: the Address Book does not contain a cross certificate capable of validating the public key”.
Oppure se scaricate un ID dal Vault non sarete in grado di utilizzarlo, Notes visualizzerà il messaggio “Not a valid ID or the ID is corrupted“.
Quindi l’ ID Vault è divenuto totalmente inutilizzabile in quanto il suo certificato non è più valido.
Non vi è ancora capitato ? Volete verificare la vostra situazione? Aprite il names.nsf sul server, andate su security/certificates , trovate il documento del Vault Trust Certificate ed apritelo. Ora cliccate su  cliccare sul pulsante “Examine Notes Certificate(s)” e avrete la data di scadenza passata la quale il vostro ID Vault non sarà più utilizzabile.

When you create a new ID Vault, the process automatically creates a new certificate connected to the Vault itself, to manage its security and during the creation phase the validity of the certificate is automatically set to 10 years.

This means that whoever created the ID Vault right after the version 8.5 deployment is now close to the expiration of the related certificate.
What are the consequences?

To put it simply, you can no longer operate on the Vault: for example if you try to reset a password through the ID Vault you get a message of this type: “Server error: the Address Book does not contain a cross certificate capable of validating the public key“.
Or if you download an ID from the Vault you won’t be able to use it, as Notes will display the message “Not a valid ID or the ID is corrupted“.
So, the ID Vault has become totally unusable just because its certificate is no longer valid.
Do you want to check your situation? Open the names.nsf on your server, go to security / certificates, find the Vault Trust Certificate document and open it. Now click on the “Examine Notes Certificate(s)” button and you will get the expiration date after which your ID Vault will no longer work.

La soluzione in realtà è abbastanza semplice, è il classico uovo di Colombo che ci è stato fornito direttamente da HCL.

Per prima cosa assicuratevi di avere a portata di click il certificatore dell’organizzazione usata per certificare il Vault, e la relativa password.

Successivamente in Domino Administrator bisogna collegarsi al server di amministrazione della Directory, selezionare il tab “Configuration” e aprire la vista “Security\Certificates\Certificates”.

A questo punto si devono selezionare i documenti di “Password Reset Certificates” e “Vault Trust Certificates” e poi bisogna CANCELLARLI (fate prima un backup per sicurezza).

Successivamente spostarsi in “Security\ID Vaults”, selezionare il documento di Vault e nel navigatore degli strumenti di destra cliccare su “ID Vaults\Manage”

First, you need to be sure to have a copy of the certifier ID used to thust the Vault, and of course its password.

Then, in Domino Administrator, connect to the Admin Server of your Domino Directory, select “Configuration” and click “Security\Certificates\Certificates”.

Select the “Password Reset Certificates” and “Vault Trust Certificates” documents, next DELETE THEM (make a backup, just in case…).

Next, move down do “Security\ID Vaults”, select the ID Vault document and in the Tools navigator select “ID Vaults\Manage”.

Reinserite l’organizzazione certificata in precedenza, e anche gli utenti autorizzati al reset delle password seguendo il processo standard.Al termine, avrete creato un nuovo documento di Trust Certificate per il Vault, valido per altri dieci anni.

What you need to do is add a new Trust Certificate for the same organization you just removed, and Password Reset Authorities as well.

At the end of the process, you’ll have a brand new Trust Certificate ready to work for another ten years.