• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

  • Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick

Fehler in der Schlüsselanforderung (GlobalSign)

M

Marcus

Active member
Registriert
26 Februar 2020
Beiträge
26
Reaktionspunkte
6
Hallo,
wir bekommen wohl seit einigen Tagen schon (genau kann ich es bei schon über 32.000 fehlgeschlagenen Anforderungen nicht sagen) einen Fehler bei der Schlüsselanforderung mit GlobalSign. Hier wurde wohl der API-Aufruf geändert?

Fehlermeldung:
Request failed. Error #-1 occured.

- Error -105 (Field 'DnAttributes.CommonName, DnAttributes.GivenName, DnAttributes.SurName, DnAttributes.Pseudonym'): Invalid parameter combination. Please that check the parameters match the API specification.

Ist das ein NSP-Thema oder ein GlobalSign-Thema? Wie bekommen wir es gelöst?
 
Hallo Jan, danke für die Antwort. Leider ist das aufgrund unserer Unternehmensgröße nicht so einfach "aus der Hüfte" möglich. Wir schauen mal was möglich ist.
 
Das ist mir sehr bewusst, dass nicht alle einfach so Updaten können. Die Verzögerung zu diesem Update hat es leider nicht leichter gemacht es deutlich früher bereitzustellen.

Einen anderen Weg wird es nur leider nicht geben, da auf Grund der CAB Änderungen die CAs Anpassungen vornehmen mussten und dementsprechend auch die Softwarehersteller.

Hier hätte also euch wirklich nur ein früheres Release mehr Zeit verschafft um es einzuplanen, ohne Update wärt ihr dennoch seit dem 26.05. in den Fehler gelaufen :(

Alles nicht sehr optimal gelaufen.
 
Das stimmt natürlich. Ich habe jetzt mal alle Hebel in Bewegung gesetzt, dass wir morgen hoffentlich updaten können.
 
Hallo @JanJäschke ,

habt ihr die API Anpassungen eigentlich auch für die GlobalSign legacy Anfragen angepasst?
Ich bin aktuell nocht nicht auf dem neuen Atlas.

Habe quasi gerade das Problem. was Marcus hat.

Grüße
Dennis
 
@Dennis R bist du schon auf 15.5?
Die Anpassungen sind auch für die Legacy GlobalSign Schnittstelle gemacht worden.

Gruß
Jan
 
FYI:

Der Fehler ist leider in der kurzeitig veröffentlichten 15.5 nicht gänzlich behoben...
Wird grade noch einmal überarbeitet und dann aktiv mit einem Kunden getestet um bei der nächsten Veröffentlichung sicher zu sein, dass die Änderungen nun greifen.
 
Hi @JanJäschke,

erstens sehe ich im Download nur Version 15.4 nicht 15.5
Die andere Frage ist ob in 15.4 auch schon das GlobalSign mandatory fields gemacht wurden?

Viele Grüße
Georg
 
v15.4 ist nicht in der Lage die neuen Zertifikate zu beantragen, dafür ist v15.5 notwendig.
Sobald ich Feedback habe, dass die Probleme definitiv behoben wurden kann ich die Version vorab zur Verfügung stellen, eine Veröffentlichung wird es nämlich voraussichtlich erst nächste Woche wieder geben.
 
Guten Morgen Jan,
ich habe nun bei uns in der Testumgebung die 15.5.0.1471, die ich von Sören bekommen habe, installiert. Leider bekomme ich immer noch bei den Zertifikatsanforderungen den Fehler:

Request failed. Error #-1 occured.
- Error -105 (Field 'DnAttributes.CommonName, DnAttributes.GivenName, DnAttributes.SurName, DnAttributes.Pseudonym'): Invalid parameter combination. Please that check the parameters match the API specification.

Wenn ich allerdings im "key enrolment provider" unter "Pseudonymity" ein Prefix angebe und bei der manuellen Anforderung dann "pseudonym: Vorname Nachname" auswähle dann geht es.
Ich habe es aber so verstanden, dass Benutzer die Vor- und Nachname konfiguriert haben eben dieses "pseudonym" Präfix nicht benötigen.
Wenn ich bei GlobalSign manuell ein Zertifikat beauftrage, muss ich mich auch zwischen Vor- und Nachname ODER Pseudonym entscheiden.
 
Hallo Marcus,

so wie du es beschreibst und verstanden hast ist auch alles richtig =)
Ich habe heute morgen erfahren, dass es in der GlobalSign legacy Implementierung noch einen Fehler gab. Dieser führt dazu, dass der Vorname/Nachname lediglich im CSR enthalten ist, nicht direkt im API call zur GlobalSign.
GlobalSign scheint das nicht zu berücksichtigen und daher denken Sie es gibt keinen Vornamen/Nachnamen.

Der fix ist bereits umgesetzt und ich warte auf das Setup um dies direkt bei einem Kundensystem gegenzuprüfen :)
Wir zielen an morgen Mittag dann die neue v15.5 zu veröffentlichen, sofern der Fix dann final klappt.

Gruß
Jan
 
Hi,
ich bin gespannt. Wir haben mittlerweile mehrere Pending Requests.
Viele Grüße
Georg
 
Update soll um 12 Uhr freigegeben werden, ich habe die Bestätigung hier aus dem Forum, dass die Anfragen dann auch korrekt funktionieren :D
 
Guten Morgen,
leider habe ich keine guten Nachrichten. Der Fehler tritt leider immer noch auf!

Ich habe auch schon einen möglichen Verdacht. In der Testumgebung haben wir keinen automatischen Benutzerimport, also muss ich dort die Zertifikate manuell anfordern. Das funktioniert auch fehlerfrei. Die Anforderung beim automatischen Benutzerimport funktioniert hingegen nicht (wie jetzt in meiner produktiven Umgebung).
Ich sehe hier auch einen Unterschied und eine mögliche Ursache: Manuell wird der CN wahlweise mit "Nachname Vorname" oder "Vorname Nachname" übergeben, der automatische Benutzerimport setzt hier aber ein Komma zwischen Nachname und Vorname. Das kann man scheinbar nicht ändern.

Gruß und gute Nerven.
Marcus
 
Guten Morgen Marcus,

Danke für das Feedback. Könntest du mir als PN noch einen Screenshot vom Enrollment schicken?
Ich gehe dem mal direkt nach.

Gruß
Jan
 
Ich habe einen DLL Fix der das problem vorerst löst.
Marcus hat das grade auch schon für mich produktiv getestet und es sieht erstmal gut aus.
Falls jemand vorab bedarf hat gerne melden.

Wichtig ist, dass wir ein neues Verständnis schaffen müssen was die Anfragen angeht.
Die Änderungen des CAB sehen vor, dass wenn man Zertifikate für keine "Person" anfordert diese immer durch ein Pseudonym gekennzeichnet werden müssen.

Das Bedeutet ein Benutzer mit dem Namen: "Service Postfach" und der E-Mail Adresse: "max.mustermann@example.com" bekommt kein Zertifikat mehr solange kein Pseudonym verwendet wird.
Dies kann beim manuellen Request ausgewählt werden oder über eine neue AD Gruppe im NSP automatisiert beim Benutzerimport passieren.
 
Hi Jan,

Wir wollen morgen auf 15.5 aktualisieren. Wir verwenden den AD Import.
Habe eben 15.5.0.1502 heruntergeladen. Gibt es denn eine Möglichkeit sich über neue Builds informieren zu lassen oder soll ich morgen nochmal neu herunterladen.



Das Bedeutet ein Benutzer mit dem Namen: "Service Postfach" und der E-Mail Adresse: "max.mustermann@example.com" bekommt kein Zertifikat mehr solange kein Pseudonym verwendet wird.
Dies kann beim manuellen Request ausgewählt werden oder über eine neue AD Gruppe im NSP automatisiert beim Benutzerimport passieren.
Zum Vergrößern anklicken....

Was bedeutet hier "Pseudonym"? Müssen wir noch etwas umkonfigurieren?

Viele Grüße
Georg
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

sbauhaus
MS365 Benutzerimport funktioniert nicht mehr
Antworten
3
Aufrufe
523
praxxzz
P
E
EventID 1790
Antworten
7
Aufrufe
9K
JanJäschke
JanJäschke
F
Script: Ausgabe der Zertifikate mit Fehlern
Antworten
1
Aufrufe
5K
StefanCink
StefanCink
Zurück
Oben