• Bewerte uns auf OMR Reviews: Klick

  • 25Reports geht live, schaut es euch an: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

  • Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick

Gelöst neue sMIME Zert werden nicht automatisch auf "Signieren/Verschlüsseln unterstützt UND AUSGEWÄHLT" gesetzt

R

rolf.d.s

Active member
Registriert
6 Januar 2020
Beiträge
40
Reaktionspunkte
10
Hallo Zusammen
NSP ver 15.2.0 onPrem auf Win 2016, Nutzer werden automatisch aus dem AD importiert, der NSP ist nicht im AD sondern alleinstehend in der DMZ
Neue sMIME Zertifikate werden automatisch bei SwissSign beantragt, ausgestellt und auf dem NSP verwendet (MPKI) . Soweit so gut.

Das Problem ist:
Unter Unternehmensbenutzer - EMail Adressen - Zugeordnete Zertifikate - Zertifikate :
Ausgestellte Zertifikate werden manchmal nicht automatisch auf "Signieren/Verschlüsseln unterstützt und ausgewählt" gesetzt.
Es ist dann nur "Signieren/Verschlüsseln unterstützt" ausgewählt.

Sowohl bei Nutzern mit dem ersten und einzigsten Zert (so wie im Bild) als auch bei Nutzern welche schon das zweite oder dritte Zert automatisch zugewiesen bekommen.

Hat jemand dazu eine Idee ?
Freundliche Grüße, Rolf





1761316066791.png
 
Hallo Rolf,

hier haben wir einiges gemacht und zusätzlich hat auch SeissSogn auf Grund von CA/B Änderungen ein wenig was geändert.
Du wirst bald keine Zertifikste mehr mit 15.2 beantragen können. (Wundert mich, dass es überhaupt noch geht 🤣)
Du solltest unbedingt auf 15.5 oder gleich 15.6 updaten. Schätzungsweise wird sich dein Problem dann erledigen, du wirst weiter Zertifikate beantragen können und bei meinem Glück dafür einen andren Bug finden 😂 (Scherz bei Seite)
Update mal und schau ob sich die Problematil damit gelöst hat 🙃

Gruß
Jan
 
Moin Jan
Danke für die schnelle Antwort. Ja, ich werde mal mit dem Update anfangen.
Schönes WE, Rolf
 
Hallo Jan

Update von 15.2 auf 15.6 ist durchgeführt und der Mailfluss läuft auch.
Es gibt aber ein Problem bei dem automatischen beantragen von SwissSign Certifikaten.

Hier die Fehlermeldung für das beantragen eines Zerifikates, welches bei einem bestehenden Benutzer in wenigen Tagen abläuft
(Ich habe die echten Vor- und Nachnamen durch <vorname> / <nachname> ersetzt)

SwissSign did not accept the request for the certificate E=<vorname>.<nachname>@<eine unserer domains>.de, CN=<Vorname Nachname>, SN=<Naxhname>, G=<Vorname>. Response from the trust center: Failed - Unconsumed SDN: gn=<Vorname>,surname=<Nachname>



Auch die erstbeantragung für ein SwissSign User sMIME Zertifikat für einen komplett neuen Benutzer schlägt fehl

Schwere: Warnung
Event ID: 9911
Datum und Uhrzeit: 03.11.2025 22:13:40
Rolle oder Dienst: Intranet Role
Nachrichtendetails: A certificate for Achim.Test@<unsere domain>.de with the Distinguished name E=achim.test@<unsere domain>, CN=Achim Test, SN=Test, G=Achim could not be acquired. Failed - Unconsumed SDN: gn=Achim,surname=Test
Servername: MAIL2

-------------------------



ID: 3f1f7b49-6b47-4c5a-a39b-89adbfcf2f48
Erstellt: 03.11.2025 22:13:36
E-Mail-Adresse: Achim.Test@<unsere domain>.de
Anfragetyp: CertificateRequest
Anfragestatus: Failed
Fehlerstatus: TrustCenterError
Fehlertext: Failed - Unconsumed SDN: gn=Achim,surname=Test
Antragsteller: E=achim.test@<unsere domain>, CN=Achim Test, SN=Test, G=Achim

-------------------------



Hast du eine Idee dazu ????
Grüße, Rolf
 
Guten Morgen
SwissSign Personal S/MIME E-Mail ID Silver mit einer Laufzeit von einem Jahr.
Das Thema mit den SwissSign Gold und den Vor- und Nach-Namen Feldern habe ich gelesen. Das sollte mich also nicht betreffen.
 
jap eigentlich sollte das bei dir einfach gehen 😂

Es könnte nun sein, dass die SwissSign bei dir Werte fest vorschreibt und die aus den request ignoriert, daher kenne ich den Fehler nur. Aber um das in Erfahrung zu bringen/zu klären müsstest du bei der SwissSign nachfragen.

Hast du noch einen alten request von v15.2 in der Konsole?
War der erfolgreich? 🤔
 
Ja, ich habe noch 2 erfolgreiche Anforderungen vom 28.10.25 in der Konsole. Das war VOR dem Update.
Was auffällt: in der alten Anforderung war nur CN= enthalten.

In den neuen Antägen CN= + SN= + G=

1762249289178.png

Wofinde ich auf dem NSP genauere Logfiles zum Beantragungsprozess - also die automatisierte Kommunikation mit SwissSign?

Ich habe bei SwissSign angerufen und um weitere Fehler Details gebeten, diese muss mir aber ein Techniker im Laufe des Tages raus suchen.
 
Zuletzt bearbeitet:
Rückmeldung vom SwissSign TechSupp (Fr 1762259076523.png): die im NSP mit dem Status "Fehlgeschlagen" gelisteten Anforderungen kommen bei SwissSign überhaupt nicht an.
SwissSign hat seit den letzten erfolgreichen Anforderungen vom 28.Okt keine weiteren Anforderungen. Auch keine Fehlgeschlagene oder unvollständige.

Wo finde ich auf dem NSP genauere Logfiles zum Beantragungsprozess - also die automatisierte Kommunikation mit SwissSign?
Grüße, Rolf
 
Hallo Rolf,

interessant, due Unconsumed Meldung ist nicht von uns sondern die Antwort der SwissSign.
Fürs Logging musst du im Troubleshooting auf der Intranet Rolle folgende Kategorien an machen:
- Automatic User import (falls vorhanden)
- Active Directory (falls vorhanden)
- Certificate Enrollment
- Certificate Management
- Keymanagement
- UserManagement Service

Das wird dir aber nicht groß weiterhelfen.
Verbindungsnachweiß samt exaktem Aufruf bekommst du nur in dem du die Anfrage vom Gateway mitschneidest (TLS inspection/FW/Proxy)
Um der SwissSign zu zeigen, dass die Verbindung da war kannst du auch in deine FW schauen.

Ggf. prüft aber auch nochmal die Account Konfiguration, nicht das die SwissSign wo anders geschaut hat als du konfiguriert hast und es vlt daher kommt :S
 
Hallo Jan
Ich hab mir den Maschinen Stand 15.2 noch mal zum testen restored und dann erst mal auf 15.4 aktualisiert und ausgiebig getestet.
Dabei ist mir aufgefallen, das - warum auch immer - der Produkt-Type des Anbieter für Schlüsselanforderungen fälschlicherweise auf Gold eingestellt war - obwohl Durchgehend nur Silber Zertifikate ausgestellt worden sind.
Ich habe dieses dann in der produktiven 15.6er berichtigt und sofort wurden wieder Zertifikate ausgestellt.
Ergo: 15.6 läuft und ich gehe nicht auf 15.4 zurück was ich eigendlich für die Nacht geplant hatte. Schlussendlich also mein Fehler.
Danke für deine schnelle Hilfe.
Rolf
 
Pu da bin ich ja beruhigt und freue mich, dass es letztlich eine so einfache Lösung ist war :D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

F
S/MIME PGP Selektion
Antworten
4
Aufrufe
473
Fabian_FD
F
M
Verschlüsselte Mails eingehend werden mit "Verschlüsselungsalgorithmus RC2_128 wird nicht unterstützt"
Antworten
3
Aufrufe
1K
869288141
8
T
Wie finde ich heraus welche Empfänger verschlüsselte Mails erhalten und welche nicht?
Antworten
2
Aufrufe
972
Tim321
T
L
D-Trust Limited Basic bei openkeys
Antworten
7
Aufrufe
10K
lukas
L
L
D-Trust Limited Basic bei openkeys
Antworten
0
Aufrufe
1K
lukas
L
Zurück
Oben