Gelöst Nach Update von 15.2 auf 15.4 Probleme bei Anforderung über SwissSign MPKI

[cmeidl]

Hallo,

nach einem vor kurzem durchgeführten Update von 15.2 auf 15.4 gibt es bei der automatischen Anforderung von Zertifikaten über eine SwissSign MPKI (Gold), Probleme.
Es kommt als Fehler immer
"Failed - Error in request. Either Pseudonym or Personal Name has to be provided."
Wenn man in den angelegten Anbieter für Schlüsselanforderungen geht, taucht auch dort das bisher verwendete MPKI OperatorZertifikat, beim auswählen des Zertifikates, dieses nicht mehr auf. Das bisher verwendete steht aber noch drinnen.
Gab es hier zwischen der Version 15.2 und früher zur Version 15.4 und neuer, Änderungen?
Muss der Anbieter aktuell neu angelegt werden?!
Vielen Dank im Voraus für weitere Informationen

Gruß
Christian

 

[StefanCink]

Hallo Christian,
ich fürchte dass Du ein Update auf die Version 15.5 machen musst und dann dort die neue Option für unsere Zertifikatsprovider pflegen musst. Es geht darum, dass bei Zertifikaten, die nicht auf eine Person ausgestellt sind, die Pseudo-Kennzeichnung mitgeliefert werden muss. Das ist eine neue Vorschrift des CAB-Forums für die CAs.
Unter https://docs.nospamproxy.com/Server...res/cryptographic-key-enrolment-swisssign.htm findest Du eine Anleitung sowie wichtige Hinweise am Ende des Beitrags.
Gruß Stefan

 

[cmeidl]

Hallo Stefan,

danke für die schnelle Antwort. Es handelt sich aber in diesem Fall um einzelne Personen. Aber der Fehler kommt trotzdem.
Diese automatischen Schlüsselanforderungen, liefen bisher immer einwandfrei.
Bisher haben wir immer das Update nur im "Regulären Kanal" gemacht. Leider habe wir auch keine Testumgebung, in der wir die Versionen aus dem "Schnellen Kanal" umfangreich testen können. Nur ungern würde ich ohne Tests die Version 15.5 in so einem "frühen" Stadium testen wollen.
Wenn es aber die einzige Möglichkeit ist, um Personenzertifikate wieder einzeln über die MPKI, automatisiert zu beziehen, müssen wir mal schauen. Eine andere Möglichkeit wäre aktuell (ohne Update auf die 15.5) scheinbar nur, der manuelle Import von vorher beantragten Zertifikaten?! Oder?

Gruß
Christian

 

[JanJäschke]

Hey,

ja entweder machst du es komplett manuell über das SiwssSign Portal und importierst in den NSP oder updatest auf 15.5.
Hintergrund sind Änderungen der Anforderungen vom CA Browser Forum, diese werden durch uns erst ab v15.5 umgesetzt.

Beste Grüße,
Jan

 

[cmeidl]

Hallo Jan,

würde das aber dann auch bedeuten, das der komplette Vorgang des Benutzerimportes mit der Zertifikatsanforderung neu erstellt werden muss, oder sollte dann die "alte" Anforderung aus der Version 15.2 wieder funktionieren?! Es steht ja auch noch die Frage im Raum, warum in der Version 15.4.0.510, das Zertifikat für die Beantragung über die MPKI in der Erstellung einer neuen Zertifikatsanforderung nicht erscheint, obwohl es eigentlich vorhanden sein sollte?!

Gruß
Christian

 

[Fabian]

Aus eigener Erfahrung: Wir haben die MPKI der SwissSign mit der Version 15 rum in Betrieb genommen und einmalig eingerichtet.
Aktuell auf neusten 15.5 Version und gestern erst ein Zertifikat (SwissSign Gold) beantragt ohne Probleme.

=> Die neuste 15.5 wird mindestens Teil deiner Probleme lösen - Stichwort: Neue Anforderungen CA Browser Forum.

LG
Fabian

 

[cmeidl]

Hallo,

danke für alle Antworten bis hierhin. Ich werde voraussichtlich heute Abend die 15.5 in der aktuellen Version einspielen, und dann mal sehen. Ich werde berichten.

Gruß
Christian

 

[cmeidl]

Zur Information - Die Umstellung wurde gestern Abend durchgeführt.
Der automatische Import der Benutzer und die damit verbundenen Anforderung der Zertifikate über die MPKI funktioniert wieder einwndfrei. Danke für die Hinweise! Leider hat sich nach einigen Tests jetzt ein anderer Fehler eingeschlichen, den ich zwar hier kurz beschreibe, aber an anderer Stelle noch einmal thematisiere.
Nach dem Update werden Administrative Benachrichtigungen scheinbar immer verschlüsselt an die interne Adresse versendet. Da hier der Schlüssel aber nicht existiert, kann diese Nachricht auch nicht gelesen werden.

Gruß
Christian

 

[JanJäschke]

Hallo Christian,

das freut mich sehr zu lesen
Schau mal hier rein: https://forum.nospamproxy.com/threads/e-mails-von-noreply-an-interne-ma.1490/
Damit löst du nun auch dein neues Problem ^^

Gruß
Jan

 

[cmeidl]

Danke für den Hinweis, wurde sofort umgesetzt!
Schönen Freitag und danke für die schnelle Hilfe!!