• Bewerte uns auf OMR Reviews: Klick

  • 25Reports geht live, schaut es euch an: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagetracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

  • Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick

SwissSign bestimmte Zertifikate widerrufen und erneuern

Fabian_FD schrieb:
Hallo,

vielen Dank für das Bereitstellen des Scripts - ich konnte so für alle User automatisch neue Zertifikate erzeugen. Da die alten Zertifikate noch nicht abgelaufen sind haben nun fast alle Nutzer 2 gültige Zertifikate im System. Verwendet der NSP nun beim Versand das Zertifikat das die jeweils längste Gültigkeit hat?

Danke,
Fabian
Zum Vergrößern anklicken....
Es werden bis zur revozierung beide verwendet.
 
Plexi schrieb:
Vielen Dank auch von mir fürs Skript. Lief ohne Fehler durch.
Allerdings stehen nun unter "Key enrolment requests" recht viele dieser Zertifikate als Request status = pending. Einige stehen auf success.
Was hat es damit auf sich?
Zum Vergrößern anklicken....
Prüf mal bitte im Web von Swissign ob diese auch ausgestellt wurden.
Falls ja: öffentlichen Teil von swisssign herunterladen und importieren, dann sollte die Anfrage abgeschlossen sein.
Es ist mir nicht bekannt, dass wir hier einen Fehler haben, bist aber nicht der erste der das festgestellt hat.
Was die Ursache ist, ist derzeit unklar.(Swisssign, NSP, beides)
 
Wir haben es in der Vergangenheit gehabt, dass wenn etwas größere Anfragen an SwissSign gingen, diese nicht sauber abgearbeitet wurden und es etwas dauerte...
Wenn ich es richtig im Kopf habe, einfach den Adressimport noch einmal von Hand anstossen.
 
Habe eben erst wieder reinschauen können, mittlerweile stehen die Zerti-Requests (vorher auf "Pending") nun auf "Failed (Request timeout exceeded)". Trotzdem finde ich für alle Benutzer ein neu ausgestelltes und als gültig gekennzeichnetes Zertifikat von heute. Ich würde also davon ausgehen, dass der Vorgang grundsätzlich funktioniert hat, nur eben in der "Key enrolment request" Ansicht nicht abgeschlossen wurde. Von daher erstmal alles gut :)
 
Besten Dank für die schnelle Reaktion und Bereitstellung des Skripts. Einfach nur TOP!

Leider hat nur partiell funktioniert. Es kam folgender Fehler bei der Ausführung.


"Request-SmimeCertificate.ps1 : Ausnahme beim Aufrufen von "RequestCertificates" mit 3 Argument(en): "Beim Anforderungskanal ist während des Wartens auf eine Antwort nach 00:00:59.9460026 eine Zeitüberschreitung aufgetreten.

Erhöhen Sie den an den Aufruf
übergebenen Zeitlimitwert auf "Request", oder erhöhen Sie den SendTimeout-Wert für die Bindung. Der für diesen Vorgang zugewiesene Zeitraum war möglicherweise ein Teil eines längeren Timeouts."



Es wurden zwar alle Anfragen gestellt aber die meisten endeten mit einem Fehler :

1776841123218.png


es waren über 750 Einträge. Noch als Info, danach hat die E-Mail Zustellung nicht funkioniert, ein- und ausgehend. Gatewayserver und Management Server Neustart hat es gefixt. Kann bei Bedarf noch die Einträge der Ereignisanzeige zuschicken.
 
Zuletzt bearbeitet:
Script erfolgreich, aber anschließend ein Teil der Request auf Pending (gestern). Heute morgen danna auf Failed wegen Timeout. Im Swiss RA Portal sind die Zertifiakte als ausgestellt aufgeführt. Hab die dann manuell runtergeladen und importiert. Problem gelöst, aber nicht sehr elegant. Frage ist ob das ein Problem auf Seiten SwissSign ist oder vom NSP. Kann leider in den Logs nichts finden.

KOrrektur: IN einer anderen Umgebung gleiches Verhalten, Zertifikate aber trotzdem erfolgreich im User hinterlegt. Scheint also ein Anzeigeproblem mit dem Request oder eine fehlende finale Rückmeldung von SwissSign zu sein.
 
wagnerv schrieb:
Besten Dank für die schnelle Reaktion und Bereitstellung des Skripts. Einfach nur TOP!

Leider hat nur partiell funktioniert. Es kam folgender Fehler bei der Ausführung.


"Request-SmimeCertificate.ps1 : Ausnahme beim Aufrufen von "RequestCertificates" mit 3 Argument(en): "Beim Anforderungskanal ist während des Wartens auf eine Antwort nach 00:00:59.9460026 eine Zeitüberschreitung aufgetreten.

Erhöhen Sie den an den Aufruf
übergebenen Zeitlimitwert auf "Request", oder erhöhen Sie den SendTimeout-Wert für die Bindung. Der für diesen Vorgang zugewiesene Zeitraum war möglicherweise ein Teil eines längeren Timeouts."



Es wurden zwar alle Anfragen gestellt aber die meisten endeten mit einem Fehler :

Anhang anzeigen 2265


es waren über 750 Einträge. Noch als Info, danach hat die E-Mail Zustellung nicht funkioniert, ein- und ausgehend. Gatewayserver und Management Server Neustart hat es gefixt. Kann bei Bedarf noch die Einträge der Ereignisanzeige zuschicken.
Zum Vergrößern anklicken....
Hey,

hast du zufällig SVCLogs von der Intranet Rolle für das Zertifikatsenrollment?
 
Moin, erstmal Danke für das Script! - Ich bin gerade auch ein paar hundert Zertifikate am ersetzen....

Ich habe kleinere Ranges (20Stk) zum testen verwendet und kann bestätigen, dass die Anzeige bei der "Schlüsselanforderung" teilweise auf "Ausstehend" hängen bleibt, obwohl das Zertifikat bereits ausgestellt und an den User gebunden wurde.

Kann man das irgendwie triggern, dass die Prüfung ob erfolgreich nochmal funktioniert? Wäre schon praktisch, um später keinen Abgleich machen zu müssen "haben alle gewünschten Benutzer nun erfolgreich ein neues Zertifikat erhalten".
 
MarkusB schrieb:
Moin, erstmal Danke für das Script! - Ich bin gerade auch ein paar hundert Zertifikate am ersetzen....

Ich habe kleinere Ranges (20Stk) zum testen verwendet und kann bestätigen, dass die Anzeige bei der "Schlüsselanforderung" teilweise auf "Ausstehend" hängen bleibt, obwohl das Zertifikat bereits ausgestellt und an den User gebunden wurde.

Kann man das irgendwie triggern, dass die Prüfung ob erfolgreich nochmal funktioniert? Wäre schon praktisch, um später keinen Abgleich machen zu müssen "haben alle gewünschten Benutzer nun erfolgreich ein neues Zertifikat erhalten".
Zum Vergrößern anklicken....
Danke für den Tipp, habe jetzt den Zeitraum auf 1 Monat verringert, alles lief durch ohne Fehler. Allerdings war CPU Last sehr hoch vom NospamProxy und Local Security Authority Process belegt. Evtl. wäre hier kleine pause zwischen den Anfragen nötig oder Timeout Parameter.

das mit "Wartend" kann ich hier auch bestätigen
 
Zuletzt bearbeitet:
Tauchen bei euch die neuen Zertifikate via Script in der GUI unter "Zertifikate" auf? Also gefiltert nach "private Endzertifikate".

Mir ist das gerade in der PS aufgefallen, weil ich checken wollte ob alle da sind. Aber auch da gab es keine "Neuen" ?!
Get-NspCertificate | Where-Object {$_.storeid -eq "my" -and $_.status -ne "revoked" -and $_.subjectdisplayname -notlike "*MPKI-Auto-RAO*"} | select * | out-gridview

Am User selber ist das neue Zertifikat aber ersichtlich.

Update: zwischenzeitlich werden unter Zertifikate / PS die ersten angezeigt, die heute vor 3 Stunden ausgestellt wurden. Also irgendein Prozess muss da noch im Backend laufen, dass die langsam dort erscheinen, spannend :)
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

M
Gelöst SwissSign und Veröffentlichung der Zertifikate in deren Directory
Antworten
3
Aufrufe
214
mabu
M
M
Gelöst Pseudonyme für Systempostfächer - SwissSign MPKI
Antworten
2
Aufrufe
281
mabu
M
8
GitHub Action zur automatisierten Pflege des smime-ca-bundle
Antworten
7
Aufrufe
320
869288141
8
C
Gelöst SWISSSIGN MPKI - formaler Fehler von Swisssign - Erneuerung aller Zertifikate
Antworten
3
Aufrufe
656
cmeidl
C
M
Gelöst SwissSign - "Anpassung E-Mail-Zertifikate im Q2 2025" - Fragen
Antworten
4
Aufrufe
956
rkurus
R
Zurück
Oben