Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
DGN S/Mime Probleme
#11
(19.08.2021, 11:59)Robert Klarmann schrieb:  und schaffen Vertrauen bei Ihren Kommunikationspartnern."

nicht wirklich wie wir feststellen konnten. Fraglich ist ob die das Nachbessern.
Ohne die korrekte Funktionsfähigkeit von Sperrdienst und OCSP-Responder sehe ich da schwarz.

Gut mag sein das es so ja Funktioniert zwischen Outlook 1:1, aber die Einrichtungen/Firmen etc. die einen NoSpamProxy einsetzen oder irgend eine andere Security Lösung welches prüft ob das Zertifikat gesperrt etc ist, schauen hier in die Röhre. 

Hoffen wir mal das das DGN das noch korrigiert.

@Jan, hast du was gehört von DGN auf die Anfrage von NSP direkt ?

Grüße
Grüße
Frank
Zitieren
#12
Guten Morgen zusammen,

ich habe zwar mitlerweile eine Rückmeldung der DGN aber auch diese ist nicht sonderlich hilfreich.
Sämtliche Aussagen die wir nun gesammelt haben (durch Support Tickets, meine Anfrage und euch) sind ziemlich widersprüchlich :/

Ich habe mir nun selbst ein DGN Zertifikat ausgestellt und werde das nochmal genaustens auseinander nehmen, laut Dokumentation soll man das auch revozieren können ^.^

Somit bleibt uns leider bisher nur im NSP eine Ausnahmeregel zu nutzen und nicht die Gültigkeit des Zertifikts zu prüfen um DGN signierte E-Mails annehmen zu können.


Ich hoffe wir werden hier noch auf einen grünen Zweig kommen.

Ich halte euch auf dem laufenden.


Gruß,
Jan
Zitieren
#13
Hallo zusammen,

ich habe das Thema nun noch einmal von Grundauf durchleuchtet und analysiert.

Ihr müsst neben der "dgnservice Root 7" und "dgnservice CA 2 Type E" noch die "dgnservice Root 11" importieren.
Hintergrund ist, dass die OCSP Antworten der DGN mit einem Zertifikat signiert werden die von der "dgnservice Root 11" stammen. Das ist natürlich auch nicht vertrauenswürdig. (Ist ja eine private PKI)
Danach kann der NSP die zertifikatskette komplett validieren und es ist alles grün Smile

Der der Vollständigkeit halber:
Es wird eine CRL und auch OCSP bereitgestellt. Ebenfalls kann man sein Zertifikat prinzipiell revozieren lassen, dies wird aber nur per Kontaktanfrage gehen. Die PKI ist momentan nicht darauf ausgelegt, dass dies automatisch gemacht werden kann.

Generell habe ich noch als Feedback mitbekommen, dass man noch nicht weiß wie lange die PKI überhaupt noch laufen wird.
Die CAs sind nur noch bis 2024/2025 momentan gültig und ob man dann erneut eine öfeentliche bereitstellt bleibt abzuwarten.


LG
Jan
Zitieren
#14
Hallo Jan,
danke fürs reinhängen.
Dann kann es Robert ja mal probieren.

Aber das Feedback das man nicht weiß wie lang die PKI noch laufen wird ist auch nicht schlecht.

Grüße
Frank
Grüße
Frank
Zitieren
#15
Hallo Frank,

zumindest noch bis 2024, dann läuft die Sub-CA ab. Ich denke nicht, dass sie die vorher einstellen werden.
Und dann mal sehen, die gesamte PKI ist wohl eigentlich aus einem internen Bedarf entstanden, erst nach externer Anfrage hat man sich dann geöffnet.

Ich hoffe ebenfalls auf Feedback durch Robert.


Gruß
Jan
Zitieren
#16
Hallo Jan,
das ist ähnlich wie die PKI von bayern.de
Überall wo die zum Einsatz kommt, müssen alle CAs vorhanden sein.
Immerhin, saubere LDAP Abfragen und CRL und auch OCSP.

Grüße
Grüße
Frank
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 3 Gast/Gäste