D-Trust Zertifikatsanforderungen fehlerhaft

[viell.carsten]

Hallo Zusammen,

wir arbeiten bei den S/MIME Zertifikaten mit der D-Trust zusammen und das hat soweit auch immer ohne Probleme funktioniert.
Seit der Umstellung auf CMP laufen alle Zertifikatsanforderungen auf folgenden Fehler.

Anfragetyp: CertificateRequest
Anfragestatus: Failed
Fehlerstatus: TrustCenterError
Fehlertext: Der Schlüsselsatz ist nicht vorhanden.

NSP-Version: 14.2

Ich habe das System-Zertifikat des NSP Servers bereits gemäß Dokumentation ausgetauscht und eingerichtet.
Leider ohne Erfolg.

Hat jemand einen Tip für mich, wo der Fehler liegt?

Viele Grüße

Carsten Viell

 

[wagnerv]

ich hatte das Problem mit SwissSign.
bei mir hat das hier geholfen : https://www.nospamproxy.de/de/knowl...rted-could-not-create-ssl-tls-secure-channel/

zudem brauchte ich das neue AutoRAO Zertifikat von Swisssgin.

 

[viell.carsten]

ich hatte das Problem mit SwissSign.
bei mir hat das hier geholfen : https://www.nospamproxy.de/de/knowl...rted-could-not-create-ssl-tls-secure-channel/

zudem brauchte ich das neue AutoRAO Zertifikat von Swisssgin.

Vielen Dank für die Info, aber die Konfiguration bei D-Trust schaut etwas anders aus und das hab ich auch alles schon neu eingerichtet inkl. dem Systemzertifikat.

 

[869288141]

Guten Morgen

Ich habe das System-Zertifikat des NSP Servers bereits gemäß Dokumentation ausgetauscht und eingerichtet.

d.h. du hast dich an die Punkte 1-5 aus der Doku gehalten: Link


Grüße,
Daniel

 

[viell.carsten]

Guten Morgen

d.h. du hast dich an die Punkte 1-5 aus der Doku gehalten: Link


Grüße,
Daniel

Hallo Daniel,

genau so habe ich das gemacht.

VG Carsten

 

[869288141]

Ich habe leider keine D-Trust Implementierung zur Hand. Daher kann ich nur "raten".

Was mich irritiert ist, dass du dich erst jetzt meldest. Denn der Wechsel von CSM auf CMP erfolgte mit NSP 14.0.2. Diese Version ist letztes Jahr im September erschienen. Du setzt laut deinem Beitrag aktuell NSP 14.2 ein. Hast du von 14.0.2 auf 14.2.0 aktualisiert und seit dem kommt es zu dem Fehler oder ist dir oben ein Tippfehler unterlaufen und meinst eigentlich NSP 14.0.2?!

Unabhängig davon gibt es den im Event Viewer von NoSpamProxy weitere Warnungen und Fehler? Gerne dazu auch die Intranet Rolle neu starten, um evtl. Fehlerbilder zu reproduzieren und damit Einträge im Event Viewer zu erzeugen.

Viele Grüße,
Daniel

 

[viell.carsten]

Wir haben das Problem seit der 14.0.2, das war ein Tippfehler. Wir mussten in den letzten 6 Monaten keine neuen Zertifikate anfordern, deshalb haben wir das etwas "stiefmütterlich" behandelt. Aber seit der Umstellung auf CMP funktioniert es nicht mehr.

Viele Grüße
Carsten

 

[869288141]

In dem Fall würde ich dir empfehlen von 14.0.2 auf 14.2.0 zu aktualisieren. Das wird dir nämlich auch der Support nahe legen.

Falls du bereits auf 14.2.0 bist und keinerlei weiteren Einträge im Event Viewer für NSP zu finden sind, muss ich dich leider ebenfalls an den Support verweisen. Je nach Vertragsart über deinen Partner oder eben direkt an NSP.

 

[viell.carsten]

Die 14.2.0 ist bereits installiert. Dann werde ich mal ein Ticket beim Partner öffnen.

Vielen Dank für die Unterstützung.

 

[869288141]

Im Event Viewer konntest du keine weiteren Warnungen und Fehler finden, die weitere Anhaltspunkte liefern?

 

[viell.carsten]

Dort steht immer nur der selbe Fehler.

A certificate for Max.Mustermann@domain.tld with the Distinguished name E=Max.Mustermann@domain.tld, C=DE, CN=Company, S=Bayern, L=City, OU=Operator, O=Company could not be acquired. Der Schlüsselsatz ist nicht vorhanden.

 

[869288141]

Könnte das auf dich zu treffen: D-Trust-Fehler: Failed to enroll for the certificate. Error: Rejection
Mir ist klar, dass bei dir keine Fehler ID wie im Screenshot zu sehen ist. Wobei ich mir nicht sicher bin, ob diese von D-Trust oder NSP vergeben wurde.

Bitte aktiviere in im NSP CC unter Troubeshooting das Logging mit folgenden Kategorien: Certifcate Enrollment & Certificate Management. Reproduziere das Problem und evtl. gibt es dort weitere Informationen die auf den Fehler schließen lassen. Die wirst du so oder so für das Support Ticket benötigen.

Gerne darfst du mir diese auch anonymisiert zu kommen lassen. Ob ich was rauslesen kann, steht in einem anderen Stern.

 

[wagnerv]

Hattest du dich mal mit D-Trust in Verbindung gesetzt? Vielleicht haben die einen oder anderen Tipp. Gibts bestimmt mehr Konstellationen d-trust und NSP.

 

[JanJäschke]

Hallo zusammen,
@viell.carsten falls das Problem noch bestehen sollte:

Die Fehlermeldung "Der Schlüsselsatz ist nicht vorhanden." weißt darauf hin, dass was mit den Rechten vom Privaten Schlüssel nicht passt.
Das naheliegendste wäre natürlich der vom Operator Zertifikat.
Hier gibt es nun verschiedene Möglichkeiten vorzugehen:
- manuelles prüfen der Rechte wenn das Zertifikat im Windows Store liegt
- löschen des Zertifikates samt Private Key und neu importieren (Achtung: es sollte eine Sicherung vorliegen bevor gelöscht wird )
- prüfen ob in der Konfig Datei der korrekte Thumbprint steht (nicht das etwas schief gelaufen ist)

Eine 100% saubere Variante wäre:
- löschen des D-Trust Providers
- warten bis in den Konfigs der Eintrag entfernt ist
- löschen des Operator Zertifikates
- Neustarten der Intranet Rolle
- importieren des Operator Zertifikates
- neu Konfigurieren des D-Trust providers

Ich würde aber erst einmal nach den Rechten auf dem privaten Schlüssel schauen bevor der Provider neu angelegt wird. In der Regel ist das dann fix behoben

LG
Jan

 

[869288141]

Hallo Urlauber Jan
warum werden solche vermeidliche Exceptions nicht mit entsprechenden aussagekräftigen Fehlermeldungen abgefangen?


Gruß,
Daniel

 

[JanJäschke]

Du kannst Fragen fragen ^^

Das kann ich so erst einmal nicht beantworten da ich noch mit keinem Entwickler reden konnte.
Ich weiß also nicht ob die Meldung auch in anderen Fällen getriggert werden kann, falls nicht bzw. falls das eindeutig unterscheidbar ist gebe ich dir ganz klar Recht: bessere Fehlermeldung