SwissSign Benutzeranforderung schlägt fehl

[gjack]

Hallo zusammen,

ich habe SwissSign als Zertifikatsanbieter neu eingerichtet.
Das Anfordern von Benutzerzertifikaten schlägt benutzerunabhängig fehl.

Die Ereignisanzeige zeigt das Event 8911 bei der Gatewayrolle an.
---------------------------------
In der Beschreibung steht:
Requesting the certificate for CN=xx.xxx@firma.de failed. Error: Unexpected error: Fehler beim Senden der Anforderung.

Message:
Fehler beim Senden der Anforderung.
Error type:
System.Net.Http.HttpRequestException

Error code: 2148734208
Program location:
bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
bei Netatwork.NoSpamProxy.Cryptography.SwissSignCertificateProvider.<SendRequestAsync>d__28.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
bei Netatwork.NoSpamProxy.Cryptography.SwissSignCertificateProvider.<EnrollAsync>d__27.MoveNext()

Die Anfrage wurde abgebrochen: Es konnte kein geschützter SSL/TLS-Kanal erstellt werden..
Message:
Die Anfrage wurde abgebrochen: Es konnte kein geschützter SSL/TLS-Kanal erstellt werden..
Error type:
System.Net.WebException

Error code: 2148734217
Program location:
bei System.Net.HttpWebRequest.EndGetRequestStream(IAsyncResult asyncResult, TransportContext& context)
bei System.Net.Http.HttpClientHandler.GetRequestStreamCallback(IAsyncResult ar)
------------------------------

Beim Empfangs- und Sendeconnector ist das gültige Mailserverzertifikat hinterlegt.
Die komplette Zertifikatskette vom RAO-Operatorzertifikat ist importiert.
Im Moment gehen mir die Ideen aus, wo ich noch was prüfen soll bzw. worauf sich der geschützte SSL/TLS-Kanal bezieht.

 

[869288141]

Hallo @gjack,
welche Version von NSP ist aktuell im Einsatz? Ggf. erst einmal noch auf die neuste Version aktualisieren.
Ansonsten wie sieht es mit den Services als Proxy Server, SSL Interception/Inspection auf der Firewall aus?!


Gruß,
Daniel

 

[gjack]

Hi Daniel,

aktuell ist 15.6.0 im Einsatz.
Ich bezweifle, dass ein Update auf 15.7.0 ein Qualitätssprung wäre. Vor allem, da in den Releasenotes nichts in Bezug auf SSL oder TLs vermerkt ist.

Auf der Firewall war IPS aktiviert.
Ich habe das testweise deaktiviert, aber Fehler bleibt.
Proxy Server ist nicht im Einsatz.

 

[gjack]

SSL-Inspection war nicht aktiv und DPI habe ich deaktiviert.
Aber Fehler bleibt.

 

[869288141]

Hallo @gjack,

aktuell ist 15.6.0 im Einsatz.

dann habe ich jetzt die 50/50 Chance. Es gibt zwei Versionen von 15.6.0.x.

In den Release Notes von Version 15.6.0.2731 ist folgenden Bug behoben worden:

Der Anbieter für Schlüsselanforderungen sendet die Attribute „givenName“ und „surname“ nicht in der Anfrage.

Auf der Firewall war IPS aktiviert.

Ich habe das testweise deaktiviert, aber Fehler bleibt.

Ein Blick in die Logs der Firewall hätten auch gereicht.

Ich würde sicherheitshalber die Server mit den Rollen von NSP neu starten. Danach nochmals probieren.
Der Server, welche die Gateway Rolle inne hat, kommt auch über Port 80 bzw. 443 ins Internet?


Gruß,
Daniel

 

[gjack]

Ja, der Server kommt über 80 und 443 ins Internet.
Ok. dann mache ich das Update auf 15.7.0

Wenn natürlich Vor- und Nachname fehlt, ist das ein valider Grund, um ein Zertifikat nicht auszustellen.
Dennoch passt das aus meiner Sicht nicht zu dem Fehler mit dem ungültigen SSl/TSL-Kanal und die Prüfung auf Vorname/Nachname hat zu dem Zeitpunkt laut Fehlermeldung noch gar nicht stattgefunden.

 

[869288141]

Dennoch passt das aus meiner Sicht nicht zu dem Fehler mit dem ungültigen SSl/TSL-Kanal und die Prüfung auf Vorname/Nachname hat zu dem Zeitpunkt laut Fehlermeldung noch gar nicht stattgefunden.

Ich kann es dir von hier aus (aus der Ferne) nicht sagen. Daher kann ich dir leider nur mit Ideen zur Seite stehen.

Du siehst sicherlich im Logfile auf der Firewall welche FQDN/URL versucht wird aufzurufen. Diese würde ich kopieren und auf dem Server mit der Gateway Rolle den Browser starten und manuell versuchen aufzurufen. Somit kannst du fehlende Root- und Intermediate Zertifikate auf dem Server ausschließen. Damit verbunden auch eine Gegenprüfung, ob eine Infrastruktur Komponente den Stream verhindert/aufbricht.

Abgesehen davon, wann hat es das letzte Mal vollumfänglich funktioniert und welche Version von NSP war zu diesem Zeitpunkt im Einsatz?


Gruß,
Daniel

 

[gjack]

Es hat noch nie funktioniert, da bisher kein SMIME zum Einsatz kam.
Die Logfiles der Firewall sind nicht aussagekräftig, da das ein Low Budget Teil ist.

 

[869288141]

Die Logfiles der Firewall sind nicht aussagekräftig, da das ein Low Budget Teil ist.

Alternativ fällt mir Wireshark ein. Da siehst du die volle Adresse.

 

[MichiH]

Moin gjack,

für TLS ist das Betriebssystem zuständig, hast Du da mal geschaut, was dort aktiviert ist? Eventuell sind alte auch Cipher-Suites aktiviert. SwissSign ist das etwas "krüsch", was die TLS Version und die Cipher angeht.
Ich habe auch im Hinterkopf, das die TLS Einstellungen, die Du mit dem NSP setzen kannst, nicht mehr verwendet werden sollten.

Ansonsten stimme ich Daniel zu, Wireshark wäre das Troubleshooting Mittel der Wahl.