• Bewerte uns auf OMR Reviews: Klick

  • 25Reports geht live, schaut es euch an: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagetracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

  • Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick

CAs stellen Support für TLS Client Authentifizierungs-Zertifikate ein

JanJäschke

JanJäschke

NoSpamProxy

Teammitglied
Registriert
12 September 2019
Beiträge
1,689
Reaktionspunkte
440
Hallo zusammen,

der ein oder andere hat es vlt. schon mit bekommen: CAs stellen derzeit die Ausstellung von TLS Zertifikaten mit der Schlüsselverwendung "TLS CLient Auth" ein.
Wir haben dazu eben einen Blogbeitrag veröffentlicht:
www.nospamproxy.de

Ende der TLS-Client-Authentifizierungszertifikate | NoSpamProxy

Ab sofort dürfen CAs in TLS-Zertifikaten nicht mehr gleichzeitig beide Extended Key Usages (EKU) id-kp-clientAuth und id-kp-serverAuth verwenden. Wer betroffen ist und was Sie jetzt tun sollten.
www.nospamproxy.de www.nospamproxy.de

Dieser Thread soll zum einen dazu dienen diese Information zu streuen und für Rückfragen da sein.

Beste Grüße,
Jan
 
Hallo Jan.

Schön, dass es diesen Beitrag hier gibt. Den ich auch gleich mal für Rückfragen zum Blogeintrag nutze.

Muss zugeben, dass ich nicht sicher bin, ob es irgendwie für uns von Relevanz ist - liegt hoffentlich an der heute nicht wirklich guten Tagesform bei mir. Verzeiht daher die möglicherweise technisch nicht absolut korrekte Beschreibung in der Frage, die nun folgt.

NSP ist On-Prem. Keine Nutzung von O365.

Es gibt für den NSP ein TLS-Zertifikat, welches für das Portal und auch auf den Konnektoren genutzt wird.

Bei diesen ist das im Blogeintrag beschriebene Szenario ja nicht zutreffend, oder? Wir benutzen das Zertifikat ja nicht direkt für die Authentifizierung.

Bin gerade nicht sicher, ob ich hier ein ToDo für uns übersehe. Glaube es aber nicht.

Danke vorab für die Antwort.
 
Hallo Jan,

ich habe nun bei dem ersten Kunden ein neues Sectigo Zertifikat angefordert und habe natürlich nur ein TLS Server-Authentifizierungszertifikat bekommen.
Dies kann ich beim ausgehenden Sendeconnector nicht auswählen, gibt es eine Möglichkeit das zu ändern?
Die Umgebung ist rein OnPrem. Es wird nur Protection genutzt.

Vielen Dank im Voraus.
M.Wichmann
 
@M.Wichmann
Ich kann es leider grade nicht gegenprüfen, aber per PowerShell kannst du die aktuelle Konfiguration des Konnektors holen, in einer Variablen speichern, dann solltest du dein neues Zertifikat hitnerlegen können, glaube es ist nur der Thumbprint und kannst dann mittels Set das Objekt wieder schreiben :)
Die NCC filtert derzeit auf die TLS Client Auth Attribute.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

F
Gelöst Office 365 Konnektor: Zertifikat für Client-Indentität entfernen
Antworten
1
Aufrufe
93
JanJäschke
JanJäschke
Z
Gelöst Let's Encrypt Zertifikate für cloud.nospamproxy.com
Antworten
7
Aufrufe
433
zuberth
Z
M
Gelöst SwissSign - neue CA-Zertifikate ab 26.08.2024
Antworten
9
Aufrufe
1K
zuberth
Z
M
Gelöst SwissSign - "Anpassung E-Mail-Zertifikate im Q2 2025" - Fragen
Antworten
4
Aufrufe
843
rkurus
R
M
Gelöst DATEV - warum findet OpenKeys das Zertifikat nicht? + "search root" für LDAP-DATEV ?
Antworten
7
Aufrufe
824
JanJäschke
JanJäschke
Zurück
Oben