SwissSign Benutzeranforderung schlägt fehl

[gjack]

Wo sind diese zwei Logs gespeichert und wie lautet die Namenskonvention?
1.) User Import
2.) das certificate enrollment.

ich sehe nur die Logs von der
Gatewayrolle in C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp
Intranetrolle in C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp

Im Userprofil in %Appdata% gibt es weder in Local, Locallow oder Roaming Logs von NSP..

 

[gjack]

Punkt 1 mit der Domainvalidierung ist erledigt, aber Fehler bleibt.

Es kann daher nur an Punkt 2 liegen, dass das RAO-Zertifikat nicht an SwissSign übermittelt wird.
Warum auch immer.

 

[JanJäschke]

Guten morgen,

du musst über das NoSpamProxy Command Center im Bereich Troubleshooting -> Protokolleinstellungen für die Intranet Rolle folgende Kategorien aktviieren:
- Automatic user import
- Certificate Enrollment
- Certificate Management
- UserManagement Service

Für die Gateway Rolle benötigst du die Kategorie:
- SwissSign Certificate provider

Die Protokolldateien findest du dann im entsprechend konfigurierten Ordner.
Damit alles einmal geschrieben wird musst du dafür sorgen, dass eine Anfrage probiert wird.


In deinem Wireshark dump prüf bitte ob du bei der Kommunikation mit SwissSign einen solchen (kann auch leicht anders aussehen) Abschnitt hast:

Der rot markierte Bereich ist von Interesse.

LG
Jan

 

[gjack]

Moin Jan,

es wird zwar ein Handshake mit dem Zertifikat gemacht, aber es sieht nicht 100%ig wie bei Dir aus. Es fehlen die Multiple Handshake Messages und die Client Key Exchange.



Im Intranet.log wird das RAO erwähnt

Successfully deserialized certificate 'CN=MPKI-Auto-RAO: Firma GmbH, E=xx@firma.de' (Thumbprint 157B52A2403xxx)
Deserializing public certificate entry EE44782835D8Fxxx
Processing certificate CN=MPKI-Auto-RAO: Firma GmbH, E=xx@firma.de' (Thumbprint 157B52A2403xxx)
A certificate for vorname.nachname@firma.de with the Distinguished name CN=vorname.nachname@firma.de could not be acquired. Unexpected error: Fehler beim Senden der Anforderung.

Ich kann hier leider nicht erkennen, warum das RAO nicht übermittelt wird.

Im Gateway.log steht auch nichts Erhellendes

Requesting SwissSign certificate for CN=vorname.nachname@firma.de
Request url is https://cmc.swisssign.ch/ws/cmc?acc...sonal+S/MIME+E-Mail+ID+Silver&validity=1y.
Requesting the certificate for CN=vorname.nachname@firma.de failed. Error: Unexpected error: Fehler beim Senden der Anforderung.

 

[JanJäschke]

Klapp mal bitte im "Handshake Protocol: Certificate" die "Certificates" auf, da sollte das RAO dann eigentlich irgendwo auftauchen ^^
Wenn dem so ist, ist die Aussage der SwissSign falsch, was mit dem NSP Log aus meiner sicht auch schon so wäre.

Wir können dann nur noch zusätzlich in CAPI log gucken um zu prüfen ob Windows was unterbunden hat, aber wenn es im Wireshark drin ist, dann wurde es auch übermittelt.

 

[gjack]

Da stehen nur die SwissSign-Root und Zwischenzertifikate drin.

ich habe aber an anderer Stelle das MPKI-Zertifikat gefunden, dass von SwissSign Private MPKI-Operators ICA 2020-1 ausgestellt ist



Ich habe daher auch noch mal den SwissSign-Support kontaktiert und nachgefragt, ob in deren Logfiles nach der Domainvalidierung andere Informationen drinstehen.
Ebenso, das aus meinen Logfiles kein Problem auf meiner Seite hervorgeht.

 

[JanJäschke]

Das ist der Ausschnitt aus dem "Certificate Request", hier ist es richtig, dass nur CAs drin sind da der Server dir sagt der Client muss mit einem Zertifikat von diesen CAs kommen.
In dem Screenshot davor warst du (vermeintlich) im richtigen Abschnitt wenn der Client mit dem Zertifikat antworten möchte.

 

[gjack]

Hallo Jan,

SwissSign hat wieder zeitnah geantwortet, aber ich bin mir beim Erkenntnisgewinn noch nicht sicher.

++++++
Ich sehe in Ihrem Log jedoch einen konkreten Punkt, der sehr wahrscheinlich die Ursache ist: Die Request-URL ist fehlerhaft formatiert. In Ihrer URL steht vor dem Parameter product= ein doppeltes &-Zeichen:

https://cmc.swisssign.ch/ws/cmc?account=MPKI000xxxx+-+xxxx+GmbH&&product=Personal+S%2fMIME+E-Mail+ID+Silver&validity=1y

Bitte entfernen Sie das zusätzliche „&", sodass nur ein einzelnes „&" zwischen den Parametern steht, und senden Sie den Request danach erneut.

Zusätzlich empfehle ich, die URL einmal sauber zu normalisieren bzw. korrekt zu encoden/decoden (z.B. mit diesem Tool):

URL Decoder/Encoder

Nach Korrektur der URL sollte der Request wieder funktionieren.
++++++++++++++++++++++

Angenommen, die Aussage vom SwissSign-Support ist korrekt, deutet das für mich auf ein Grundsatzproblem bei NSP hin, da NSP die URL zusammenbaut.

In der obigen URL habe ich die echte Kundennummer und den Firmennamen durch exakt die gleiche Anzahl von x ersetzt.

 

[gjack]

SwissSign provoziert diese Fehler aber schon durch diese unübliche Form des Kundennamens, der mehrere Leerzeichen und Sonderzeichen enthält. Das ist doch schon eine Sollbruchstelle.
Das hätte auch eleganter mit Unterstrichen gelöst werden können, wie es jede andere Firma auf der Welt macht. Aber gut, ist nun nicht mehr zu ändern.

 

[JanJäschke]

Probier das mal aus =)

Auf Welcher Version bist du?
Das Thema fühlt sich leider immer an wie ein Katz und Maus Spiel ....

 

[gjack]

Was soll ich denn ausprobieren?
Die URL baut NSP zusammen, da habe ich keinen Einfluss drauf.
Ich hatte gehofft, Du hast noch einen Ansatz oder kannst intern nachfragen, warum bei meiner URL && enthalten sind.

Ich habe keine Vergleichswerte von anderen Kunden.

Habe aktuell 15.6.0.

 

[JanJäschke]

Du nimmst deinen Kontonamen und Produkt namen und URL encodest sie, trägst diese dann im NSP ein.
Online z.B. machbar mit: https://www.urldecoder.org/de/

Dann wird aus dem Produkt "SwissSign S/MIME OV" nach der Encodierung "SwissSign%20S%2FMIME%20OV%0A".

Sieht dann so aus:

 

[gjack]

Codierung ist erfolgt, aber Fehler bleibt.
Immerhin hat sich die URL geändert.

Request url is https://cmc.swisssign.ch/ws/cmc?acc...sonal+S/MIME+E-Mail+ID+Silver&validity=1y.

 

[gjack]

Der SwissSign-Support hat noch zwei Ansätze geliefert:

1. Beim Produktnamen auch noch SwissSign ergänzen ==> SwissSign%20Personal%20S%2FMIME%20E-Mail%20ID%20Silver
Hab ich gemacht, aber Fehler bleibt.

2. Anpassen der URL, Encoden der URL sowie Anhängen eines Parameters:
https://connection.ssl.url: /ws/cmc?account=MPKI000xxxx%20-%20xxxx%20GmbH%26product%3DSwissSign%20Personal%20S%2FMIME%20E-Mail%20ID%20Silver%26validity%3D1y%26ignore_unconsumed%3D1

Das wäre die korrekt ausgeschriebene, dekodierte URL:
https://connection.ssl.url: /ws/cmc?account=MPKI000xxxx - xxxx GmbH&product=SwissSign Personal S/MIME E-Mail ID Silver&validity=1y&ignore_unconsumed=1

Kann ich irgendwo selbst in den NSP-Einstellungen die URL anpassen?