• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Gelöst DATEV - warum findet OpenKeys das Zertifikat nicht? + "search root" für LDAP-DATEV ?

M

mabu

Well-known member
Hallo.

Ich habe mich mal wieder am Thema "Verschlüsselung mit der DATEV" versucht 😩

In der NSP-Doku bei "Weitere LDAP-Verzeichnisse..." steht bei DATEV der Hinweis "Dieses System wird über Open Keys abgefragt, es werden aber nur Zertifikate von vertrauten Root CAs importiert, da nicht jede CA zum Verschlüsseln geeignete Zertifikate ausstellt."

Bedeutet erstmal für mich: über OpenKeys wird LDAP-DATEV abgefragt.

Für die Mailadresse email-verschluesselung@service.datev.de wird auf der OpenKeys-Webseite aber nichts gefunden. Die DATEV-eigene Suchseite findet ein Zertifikat.


Da OpenKeys nichts gefunden hat, habe ich LDAP-DATEV unter "öffnetliche Schlüsselserver" mit eingetragen. DATEV selbst gibt hier Infos für LDAP.

Somit unter "LDAP-Suche" keinen Container eingetragen sondern "Führe eine unbeschränkte Suche aus".

Nun ist mir in den Ereignissen gerade aufgefallen, dass dort Warnung von der GW-Rolle kommt. "Failed to lookup cryptographic keys using the provider 'Datev'. The error returned by the provider was: A valid search root must be specified when not doing a forest wide search."

Was muss ich also in der Konfig dort eintragen? Finde leider nichts dazu.

PS: unter "öffentliche Schlüsselserver" wäre eine Test-Funktion super - Eingabe einer Mailadresse und "leg mit suchen los"
 
Wie ist denn der LDAP eingetragen?

ich habe:
LDAP-VerbindungServernameldap.crl.esecure.datev.de
LDAP-VerbindungPort389
LDAP-VerbindungAuthentifizierungAnonym
LDAP-SucheSucheuneingeschränkt
LDAP-SucheFilter(mail=%e)
LDAP-Felderx.509-Zertifikate abrufenuserCertificate;binary
DomänenBenutze für alle Domänen

letzteres ließe sich sicherlich auf datev.de einschränken.

I.d.R. klappt das auch, aber warum auch immer, gelegentlich nicht, dann hilft nur die Zertifikate manuell bei der datev suchen und einpflegen, war aber schon länger nicht mehr der Fall, vielleicht funzt jetzt ja auch alles...
 
Hatte ich im Ausgangspost nicht erwähnt - den Eintrag gab es bei mir schon länger. Nur war da ein Eintrag unter "Vollqualifizierter Name" eingetragen. Und als ich letzte Woche das Thema "DATEV" noch mal angeschaut hatte, habe ich die verklinkte Info der DATEV mit "LDAP-Suche uneingeschränkt" gefunden und den Eintrag dort entfernt.
1724147866957.png

Und seitdem habe ich halt diese Warnungen im NSP:
1724147999914.png

Eingrenzen auf bestimmte Domänen tue ich das nicht. Wenn ich das mit DATEV richtig verstanden habe, können da ja auch andere Maildomänen mit enthalten sein. Somit finde ich die Abfrage schon okay.

Bekommst Du die Warnmeldung nicht?
 
Nein, mein Ereignisprotokoll ist, bis auf ein paar temoräre Warnungen während eines Windowsupdates, "sauber".

Der Fehler "avalid search root must be specified" macht ja im Zusammenhang mit "unbeschränkte Suche" auch keinen sinn... das eine schließt ja quasi das andere aus. Daran wirds denke ich nicht liegen.
 
Das heißt, Du hast DATEV-LDAP auch als extra Eintrag unter "Öffentliche Schlüsselserver" und wie im Screenshot oben ist "Führe ein unbeschränkte Suche aus" ausgewählt?

Von der Fehlermeldung her scheint doch der entfernte LDAP-Server die Suche so gar nicht zuzulassen.

Wir sind aktuell auf der 15.1.0.940 - somit sind 2 aktuellere Releases vorhanden. Aber LDAP kommt da in Release Notes nicht vor.
 
Ja, ich habe die DATEV - unter anderem - in den öffentlichen Schlüsselservern eingetragen und "führe eine unbeschränkte Suche aus" ausgewählt.

Ich bin aktuell, auf dem neuesten Service-Release.

1724159619873.png

mein Ereignisprotokoll sieht so aus:
1724159698067.png

Die beiden Warnungen betreffen ein bestimmtes vom Empfänger selbst generiertes Zertifikat und sind eine Warnung, dass dieses nicht im "TrustedPeople certificate store" gefunden werden kann.
 
🫣 man bin ich blind. Ich hatte im Servernamen warum auch immer das "datev" vor dem .de nicht mit drin. Peinlich.

Erklärt aber noch nicht, warum für die Mailadresse email-verschluesselung@service.datev.de auf der OpenKeys-Webseite nichts gefunden wird, wenn die DATEV-eigene Suchseite ein Zertifikat findet. OpenKeys sollte ja laut Doku eigentlich auch Datev abfragen, so dass der zusätzlich von uns eingetragene Schlüsselserver ja überflüssig sein sollte.
 
Danke für den Hinweis. Ursache ist behoben und das Zertifikat wird nun auch per OpenKeys zurück gegeben :D

Gruß
Jan
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

F
Installierte Zertifikate werden nicht verwendet / gefunden
Antworten
8
Aufrufe
1K
JanJäschke
JanJäschke
M
Probleme mit Verbindung zur Gatewayrolle und eigenartige Fehlermeldungen
Antworten
5
Aufrufe
985
mabu
M
M
Zertifikat von EBCA-Keyserver wird nicht abgerufen?
Antworten
14
Aufrufe
22K
JanJäschke
JanJäschke
M
Nutzung von OpenKeys - Verstädnisfrage
Antworten
8
Aufrufe
16K
JanJäschke
JanJäschke
P
Script: Ungültige S/MIME-Zertifikate finden/entfernen
Antworten
1
Aufrufe
5K
StefanCink
StefanCink
Zurück
Oben