• Bewerte uns auf OMR Reviews: Klick

  • 25Reports geht live, schaut es euch an: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagetracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

  • Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick

CAs stellen Support für TLS Client Authentifizierungs-Zertifikate ein

JanJäschke

JanJäschke

NoSpamProxy

Teammitglied
Registriert
12 September 2019
Beiträge
1,694
Reaktionspunkte
443
Hallo zusammen,

der ein oder andere hat es vlt. schon mit bekommen: CAs stellen derzeit die Ausstellung von TLS Zertifikaten mit der Schlüsselverwendung "TLS CLient Auth" ein.
Wir haben dazu eben einen Blogbeitrag veröffentlicht:
www.nospamproxy.de

Ende der TLS-Client-Authentifizierungszertifikate | NoSpamProxy

Ab sofort dürfen CAs in TLS-Zertifikaten nicht mehr gleichzeitig beide Extended Key Usages (EKU) id-kp-clientAuth und id-kp-serverAuth verwenden. Wer betroffen ist und was Sie jetzt tun sollten.
www.nospamproxy.de www.nospamproxy.de

Dieser Thread soll zum einen dazu dienen diese Information zu streuen und für Rückfragen da sein.

Beste Grüße,
Jan
 
Hallo Jan.

Schön, dass es diesen Beitrag hier gibt. Den ich auch gleich mal für Rückfragen zum Blogeintrag nutze.

Muss zugeben, dass ich nicht sicher bin, ob es irgendwie für uns von Relevanz ist - liegt hoffentlich an der heute nicht wirklich guten Tagesform bei mir. Verzeiht daher die möglicherweise technisch nicht absolut korrekte Beschreibung in der Frage, die nun folgt.

NSP ist On-Prem. Keine Nutzung von O365.

Es gibt für den NSP ein TLS-Zertifikat, welches für das Portal und auch auf den Konnektoren genutzt wird.

Bei diesen ist das im Blogeintrag beschriebene Szenario ja nicht zutreffend, oder? Wir benutzen das Zertifikat ja nicht direkt für die Authentifizierung.

Bin gerade nicht sicher, ob ich hier ein ToDo für uns übersehe. Glaube es aber nicht.

Danke vorab für die Antwort.
 
Hallo Jan,

ich habe nun bei dem ersten Kunden ein neues Sectigo Zertifikat angefordert und habe natürlich nur ein TLS Server-Authentifizierungszertifikat bekommen.
Dies kann ich beim ausgehenden Sendeconnector nicht auswählen, gibt es eine Möglichkeit das zu ändern?
Die Umgebung ist rein OnPrem. Es wird nur Protection genutzt.

Vielen Dank im Voraus.
M.Wichmann
 
@M.Wichmann
Ich kann es leider grade nicht gegenprüfen, aber per PowerShell kannst du die aktuelle Konfiguration des Konnektors holen, in einer Variablen speichern, dann solltest du dein neues Zertifikat hitnerlegen können, glaube es ist nur der Thumbprint und kannst dann mittels Set das Objekt wieder schreiben :)
Die NCC filtert derzeit auf die TLS Client Auth Attribute.
 
Ich stand vor den selben Problem und habe auf die Lösung von NSP und deren Angebot mit Let's Encrypt gewechselt.

Damit war der Server zufrieden (nach Beantragung und Zuweisung an den O365 Konnektor).

Nicht vergessen bei den EXO Konvektor den Filter anzupassen!

Für die anderen Konvektoren ist es ja optional, in Richtung ausgehend), sofern Bedarf besteht ein passendes besorgen, sonst weglassen!

LG
Fabian
 
Thomas schrieb:
Hhhmmm... mich erwischt es eben gerade: Mein neues Zertifikat (ohne Client Auth) wird im NCC nicht angezeigt. Sicherlich bin ich nicht der erste mit diesem Problem. Wie GENAU geht man jetzt vor?
Zum Vergrößern anklicken....
Ich habe für heute leider keinen Zugriff mehr auf meine Umgebung, falls du zwanghaft auf dem Konnektor eins brauchst:
Es gibt ein Get-NspOutboundConnector… CmdLet. Die Ausgabe in einer variable speichern. Dann anschauen, es ist glaube ich nur der thumbprint der drin steht, den in der variable überschrieben und dann mit dem Set-NspOitboundConnector… CmdLet setzen. Gleiches gilt auch für inbound.

LG
 
@Fabian: how ist kein O365 im Spiel, alles On-Premises. Geht die Lösung mit lets-encrypt auch damit? Wenn ja, wo gibt es eine genaue Anleitung?

@Jan: ich habe schon einiges mit dem cmd-lets gemacht, scheitere aber daran, dass er das Zertifikat schlichtweg als "NotForUse" betitelt, weil die Client-Auth darin fehlt.

Aber mal im Ernst: Das Problem ist seit 5 Monaten bekannt und es gibt hier noch keine dokumentierte, saubere Lösung?? Ich hoffe ernsthaft, ich bin nur zu blöd zum Suchen... (Ach, ja, ich habe gerade noch zur Sicherheit das allerneueste 15.7er Update installiert.)

Viele Grüße
Thomas
 
Thomas schrieb:
@Fabian: how ist kein O365 im Spiel, alles On-Premises. Geht die Lösung mit lets-encrypt auch damit? Wenn ja, wo gibt es eine genaue Anleitung?

@Jan: ich habe schon einiges mit dem cmd-lets gemacht, scheitere aber daran, dass er das Zertifikat schlichtweg als "NotForUse" betitelt, weil die Client-Auth darin fehlt.

Aber mal im Ernst: Das Problem ist seit 5 Monaten bekannt und es gibt hier noch keine dokumentierte, saubere Lösung?? Ich hoffe ernsthaft, ich bin nur zu blöd zum Suchen... (Ach, ja, ich habe gerade noch zur Sicherheit das allerneueste 15.7er Update installiert.)

Viele Grüße
Thomas
Zum Vergrößern anklicken....
Wenn du on-prem bist:
Temporär vom Zertifikat weg wechseln?
In einer Single tenant Umgebung gibt es ja nur bedingt Mehrwert auf den SAN zu gehen.

Nein du bist nicht zu blöd. Es sollte schon längst ein Update dazu geben, dass Thema eskaliert auch derzeit intern.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

F
Gelöst Office 365 Konnektor: Zertifikat für Client-Indentität entfernen
Antworten
1
Aufrufe
102
JanJäschke
JanJäschke
F
  • Artikel Artikel
Implementierung und Betrachtung von DNSSEC und DANE aus Kundensicht
Antworten
1
Aufrufe
47
869288141
8
Z
Gelöst Let's Encrypt Zertifikate für cloud.nospamproxy.com
Antworten
7
Aufrufe
445
zuberth
Z
M
Gelöst SwissSign - neue CA-Zertifikate ab 26.08.2024
Antworten
9
Aufrufe
1K
zuberth
Z
M
Gelöst SwissSign - "Anpassung E-Mail-Zertifikate im Q2 2025" - Fragen
Antworten
4
Aufrufe
849
rkurus
R
Zurück
Oben