• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Automatische Zertifikatsanforderung MPKI SwissSign

cmeidl

Member
Hallo,

wir fordern für einen Kunden in der NSP Konfiguration für bestimmte Benutzer (die alle in einer AD Gruppe sind) ein Zertifikat über die MPKI bei SwissSign an. Dies funktioniert auch wunderbar, auch wenn Zertifikate ablaufen und erneuert werden müssen. Leider wird immer zusätzlich auch für die AD Gruppe ein Zertifikat angefordert (was immer fehlschlägt, weil die PSEUDO Einträge nicht richtig sind). Das kein Zertifikat ausgestellt wird, ist auch gut so, da wir für diese Gruppe kein Zertifikat benötigen. Wie kann man jedoch verhindern, das jeweils die Anforderung immer fehlschlägt bzw. für diese Gruppe überhaupt ein Zertifikat angefordert wird. Hier wird automatisch jeden Tag die Zertifikatsanforderung laufen gelassen - dadurch auch jeden Tag der Fehler bei der Zertifikatsanforderung.
Übersehe ich etwas in der Konfiguration?! Die Gruppe ist in der Unternehmensbenutzer Sektion, als "ausgeschaltet" markiert, aber natürlich beim "Automatischen Benutzerimport" - "Benutzerimport" - "Gruppen" - "Automatische Schlüsselanforderung" eingetragen.

Vielen Dank im Voraus
Christian
 
Hallo Christian,

das einfachste wäre von der Gruppe die E-Mail Adresse zu entfernen. Hat diese einen Zweck auf der Gruppe?


Gruß
Jan
 
Hallo Jan,

danke für die Antwort. Ja, die Gruppe wird zusätzlich intern auch genutzt um eine Gruppe von Mitarbeitern anzuschreiben.
Wenn jetzt auf der Gruppe keine E-Mailadresse wäre, würde dann die Anforderung nicht gestellt werden?! Ich habe ja eigentlich nirgendwo eingetragen, das diese Gruppe ein Zertifikat bekommen soll, sondern eigentlich nur die Gruppenmitglieder.

Gruß
Christian
 
Hallo Christian,

genau so ist es. Ohne E-Mail Adresse würden wir kein Zertifikat anfordern.
Hier sind wir vor dem Problem, dass die einen Kunden das eine wollen und die anderen Kunden das andere. Bei einem On-Prem AD / LDAP könnte ggf. ein LDAP Filter weiter helfen, das müsste ich mir aber selbst näher anschauen. Bei einem AzureAD gibt es aktuell noch keine Filter Möglichkeit, das wird erst noch kommen.


Gruß
Jan
 
Zurück
Oben