• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Automatische S/MIME-Erstellung - wann wird neues Zertifikat vor Ablauf des alten angefordert?

M

mabu

Well-known member
Registriert
19 Dezember 2019
Beiträge
338
Reaktionspunkte
23
Hallo.

Wir nutzen bereits seit Jahren die Schlüsselanforderung über die CA von SwissSign.

Ich bin mir eigentlich sicher, dass in der Vergangenheit die Erneuerung eines zum Tag x ablaufenden S/MIME-Zertifikates immer erst wenige Tage vor dem Ablauf durchgeführt worden ist. Habe sowas wie 3 Tage im Kopf.

Nun fällt mir gerade auf, dass bei den beiden zuletzt automatisch erneuerten Zertifikaten die neue Anforderung 14 Tage vor Ablauf erzeugt worden ist.
1725527953821.png

Hat sich da in den letzten Versionen mal was dran geändert?

Ist der Zeitraum administrierbar?
 
Hallo Martin,

ja das hat sich geändert.
Ohne geschaut zu haben müsste das aber schon seit v14 so sein :)

Grund ist, dass es bei den drei Tagen immer wieder zu Problemen gekommen ist und fast alle MPKIs das sauber verrechnen.

Gruß
Jan
 
Hallo,

wir betreiben den NSP mit einer SwissSign MPKI. Da viele user vor dem Umstieg auf NSP (vor ca. 2 Jahren) noch gut 2 Jahre gültige S/MIME Zertifikate hatten, habe ich diese in den NSP importiert.

Für alle neuen User werden automatisch via AD-Gruppe SwissSign-Zertifikate angefordert. Da die alten S/MIME Zertifikate nun auslaufen, habe ich vorbereitend auch die User mit manuell importierten Zertifikaten in die AD-Gruppe aufgenommen. Grundsätzlich funktioniert das automatische ausstellen, da sich bei einem User der Nachname geändert hat und NSP dann ein neues Zertifikat angefordert hat.

Die Zertifikate laufen nun in 7 Tagen ab, allerdings wurde für keinen der verbleibenden User bisher ein neues Zertifikat angefordert. Gelten die 14 Tage nur für vorher ebenfalls über die gleiche MPKI angeforderte Zertifikate oder sollte das auch bei auslaufenden, manuell importierten Zertifikaten einer anderen PKI funktionieren?

viele Grüße

Fabian
 
Fabian_FD schrieb:
Hallo,

wir betreiben den NSP mit einer SwissSign MPKI. Da viele user vor dem Umstieg auf NSP (vor ca. 2 Jahren) noch gut 2 Jahre gültige S/MIME Zertifikate hatten, habe ich diese in den NSP importiert.

Für alle neuen User werden automatisch via AD-Gruppe SwissSign-Zertifikate angefordert. Da die alten S/MIME Zertifikate nun auslaufen, habe ich vorbereitend auch die User mit manuell importierten Zertifikaten in die AD-Gruppe aufgenommen. Grundsätzlich funktioniert das automatische ausstellen, da sich bei einem User der Nachname geändert hat und NSP dann ein neues Zertifikat angefordert hat.

Die Zertifikate laufen nun in 7 Tagen ab, allerdings wurde für keinen der verbleibenden User bisher ein neues Zertifikat angefordert. Gelten die 14 Tage nur für vorher ebenfalls über die gleiche MPKI angeforderte Zertifikate oder sollte das auch bei auslaufenden, manuell importierten Zertifikaten einer anderen PKI funktionieren?

viele Grüße

Fabian
Zum Vergrößern anklicken....
Moin Fabian,

wenn die alten Zertifikate noch von der alten (und nicht mehr funktionierenden) SwissSign MPKI ausgestellt worden sind, könnte ich mir vorstellen, das Du für die Benutzer mit den importierten Zertifikaten einmalig manuell die Ausstellung anfordern musst.
Ich bin mir da nicht 100% sicher, habe aber irgendwie im Hinterkopf, das wir das Thema schon mal bei einem unserer Kunden hatten.

Die 14 Tage Frist sollte nach meinem Verständnis für alle Zertifkate gelten, die über den NSP angefordert wurden.


VG
Michi
 
Hey,

Eigentlich sollte dein gewünschtes Szenario hier funktionieren. Da scheint also was nicht zustimmen.

am besten erstellst du dafür ein Troubelshooting log.
Dafür brauchst du die Kategorie für den User Import, Zertifikatshandling, ausrollen auf der intranet Rolle.

Die genauen Namen kann ich morgen mal editieren.

LG
Jan
 
MichiH schrieb:
wenn die alten Zertifikate noch von der alten (und nicht mehr funktionierenden) SwissSign MPKI ausgestellt worden sind, könnte ich mir vorstellen, das Du für die Benutzer mit den importierten Zertifikaten einmalig manuell die Ausstellung anfordern musst.
Ich bin mir da nicht 100% sicher, habe aber irgendwie im Hinterkopf, das wir das Thema schon mal bei einem unserer Kunden hatten.

Die 14 Tage Frist sollte nach meinem Verständnis für alle Zertifkate gelten, die über den NSP angefordert wurden.
Zum Vergrößern anklicken....
danke für den Hinweis. Die alte PKI war allerdings Certum, hat also nix mit SwissSign zu tun.


JanJäschke schrieb:
Eigentlich sollte dein gewünschtes Szenario hier funktionieren. Da scheint also was nicht zustimmen.

am besten erstellst du dafür ein Troubelshooting log.
Dafür brauchst du die Kategorie für den User Import, Zertifikatshandling, ausrollen auf der intranet Rolle.

Die genauen Namen kann ich morgen mal editieren.
Zum Vergrößern anklicken....

Ich habe mal "Active Directory user import", "Automatic user import", "certifacte enrollment" und "Certificate Management" angehakt. Ich kann sehen dass die Benutzer reinkommen, dass die Gruppen gecheckt werden. Viel mehr steht im Trace zu einer Person nicht drin. Vielleicht fehlt noch ein Haken? Ich würde erwarten, dass die Zertifikatsgültigkeit auch geprüft wird und dann eine "Aktion" entschieden wird.
 
Guten Morgen =)

Fast richtig, schalte mal bitte noch "UserManagement Service" an, dann sollten die INfos die du gesucht hast auch sichtbar werden :)


Gruß
Jan
 
Ah besten Dank, das sieht nun besser aus, für die relevanten User sehe ich folgendes:

- Auto enrollment is enabled for this usser.
- Checking for an existing certificate via the primary email address of user@company.de
- Searching for a certificate with thumbprint <ABC...> in store My
- Get 1 certificates
- Deserializing public certificate entry <ABC...>
- Sucessfully deserialized certfificate "..."
- Searching for a certificate with thumbprint <ABC...> in store My
- Get 1 certificates
- Deserializing public certificate entry <ABC...>
- Sucessfully deserialized certfificate "..."
- Searching for a certificate with thumbprint <ABC...> in store My
- Using the existing certificate 'ABC... , ABC...'.

Das Zertifikat 'ABC...' läuft am 28.4.2025 ab.

Einen Hinweis auf einen erfolgten Restlaufzeit-Check sehe ich nicht.
 
1745487061066.png

So sollte das Log übergeordnet an der Stelle bei dir ausgesehen haben, korrekt?

Gibt es den Eintrag "All keys valid longer than renewal" bei dir?

Lass mir sonst auch gerne das Log zukommen, dann schaue ich einmal direkt rein.

Gruß
Jan
 
Hallo Jan,

das log sieht vom Aufbau bei mir etwas anders aus (15.2), vielleicht fehlt auch noch eine Datenquelle. Wie kann ich es Dir am besten zukommen lassen?

viele Grüße
Fabian
 
Kurz als Update:

Die alten Certum Zertifikate laufen ab, und werden nicht durch ein SwissSign Zertifikat ersetzt. Erst wenn ich das abgelaufene Certum Zertifikat manuell lösche wird automatisch bei nächsten Import ein SwissSign Zertifikat angefordert.

Tatsächlich werden die abgelaufenen Zertifikate auch erst nach einem Neustart der Intranetrolle als "abgelaufen" angezeigt. Das Bildschirmfoto ist von 16:47 - das Zertifikat ist um 16:34 abgelaufen.
 

Anhänge

  • nsp2.jpg
    nsp2.jpg
    9.4 KB · Aufrufe: 1
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

M
Report (Skript), das ablaufende Zertifikate der nächsten x Tage ermittelt?
Antworten
2
Aufrufe
580
dimitri.k
D
M
S/MIME-"Domänenzertifikat" - wie praktisch am besten?
Antworten
0
Aufrufe
5K
mabu
M
Zurück
Oben