• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

SwissSign Zertifikatsabruf nicht möglich seit neuer MPKI

S

Seth999

New member
Hallo,
ich hab bei zwei Kunden mittlerweile das Problem dass ich über die SwissSign MPKI keine Zertifikate mehr abrufen kann. Bei anderen klappts. NSP Version ist die gleiche (14.0.5).

Ich kann mir keinen Reim drauf bilden. Vorallem weil´s einmal eine Neuinstallation ist und einmal ein Bestandskunde. Wg. dem Neukunden hätt ich auch schon ein Ticket gezogen, aber leider noch kein Feedback. Deshalb mal hier die Frage in die Runde.

Fehlermeldung: Die zugrunde liegende Verbindung wurde geschlossen: Unerwarteter Fehler beim Senden..

Dachte zuerst dass es an der Firewall liegt, aber da ist nichts besonderes konfiguriert und im Log steht auch kein block oder ähnliches.
IISCrypto etc. hab ich schon abgefeuert, TLS Settings sollten passen.
MPKI Zertifikat ist auch das richtige, hab ich mit SwissSign abgegeglichen. Vorallem gehts bei anderen Installationen.

Hier das Log:
Schwere: Warnung
Event ID: 8911
Datum und Uhrzeit: 01.09.2023 17:27:23
Rolle oder Dienst: Gateway Role
Nachrichtendetails: Requesting the certificate for E=markt@testfirma.de failed. Error: Unexpected error: Fehler beim Senden der Anforderung.


Message:
Fehler beim Senden der Anforderung.
Error type:
System.Net.Http.HttpRequestException

Error code: 2148734208
Program location:
bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
bei Netatwork.NoSpamProxy.Cryptography.SwissSignCertificateProvider.<SendRequestAsync>d__26.MoveNext()
--- Ende der Stapelüberwachung vom vorhergehenden Ort, an dem die Ausnahme ausgelöst wurde ---
bei System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
bei System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
bei Netatwork.NoSpamProxy.Cryptography.SwissSignCertificateProvider.<EnrollAsync>d__25.MoveNext()


Die zugrunde liegende Verbindung wurde geschlossen: Unerwarteter Fehler beim Senden..

Message:
Die zugrunde liegende Verbindung wurde geschlossen: Unerwarteter Fehler beim Senden..
Error type:
System.Net.WebException

Error code: 2148734217
Program location:
bei System.Net.HttpWebRequest.EndGetRequestStream(IAsyncResult asyncResult, TransportContext& context)
bei System.Net.Http.HttpClientHandler.GetRequestStreamCallback(IAsyncResult ar)


Fehler bei Authentifizierung, da die Gegenseite den Transportstream geschlossen hat.

Message:
Fehler bei Authentifizierung, da die Gegenseite den Transportstream geschlossen hat.
Error type:
System.IO.IOException

Error code: 2148734496
Program location:
bei System.Net.TlsStream.EndWrite(IAsyncResult asyncResult)
bei System.Net.ConnectStream.WriteHeadersCallback(IAsyncResult ar)



Servername: F1testfirma


-------------------------

Vielleicht hat jemand ne Idee.

Danke und Grüße
Martin
 
Hallo Martin,

ich kann dir leider nicht helfen aber berichten, dass ich seit dem Wechsel auf die neue SwissSign MPKI genau den gleichen Fehler beim Beantragen von Zertifikaten bekomme.

Ich bin nach Anleitung/Blog-Artikel vorgegangen und habe einfach den alten Connector gelöscht, einen neuen mit den selben Daten angelegt und das neue MPKI-Auto-RAO Zertifikat (hat mir SwissSign zugeschickt) hinterlegt:

NSP.png

Der Fehler im Ereignisprotokoll ist genau der selbe.

Auch ich wäre über einen Hinweis dankbar wo der Fehler liegen könnte.

Vielen Dank und viele Grüße
Stephan
 

Anhänge

  • NSP.png
    NSP.png
    42.8 KB · Aufrufe: 2
Hallo ihr beiden,

der Stacktrace kann aus meiner Sicht zwei mögliche Ursachen haben:
1. das neue RAO Zertifikat ist nicht korrekt bei der SwissSign hinterlegt (ja hatten wir schon)
2. ihr nutzt einen Windows Server 2012 R2 oder eure Server Konfiguration unterstützt die TLS Cipher Suite "ECDHE-RSA-AES256-GCM-SHA384" nicht.

Der zweite Punkt ist durch eine Analyse bei unserem Support aufgekommen und wir stehen mit der SwissSign schon im Austausch, dass sie für die Kunden Kompatibilität vlt. noch ein paar andere aufnehmen sollten.

Ein Wireshark Dump würde vermutlich in beiden Fällen etwas Licht ins Dunkle bringen.


Grüße
Jan
 
Hallo Jan,

vielen Dank für die Hinweise.
Ja, bis Ende des Monats läuft NoSpamProxy bei uns noch auf einem Server 2012 R2.

Lässt sich absehen ob SwissSign zeitnah einlenkt oder ist ein vorgezogener Serverwechsel (bei uns wäre es dann Server 2022) aktuell die einzige Möglichkeit NoSpamProxy wieder mit automatischer Zertifikatsbeantragung zu nutzen?
 
Die erste Rückmeldung ist, dass sie die Änderung machen werden, aber uns nicht sagen können wann. Hier möchte man uns auf dem laufenden halten. :)

Je nach dem wie viele Zertifikate also auf euch zukommen würde ich den Serverwechsel vorziehen :(
Wenn nur eine Handvoll Zertifikate angedacht sind könntest du diese natürlich auch manuell über das Webinterface der SwissSign ausstellen, aber das ist natürlich nicht sehr praktisch.
 
Hi,
tatsächlich lags am TLS Cipher.
Einmal 2012 R2 Server -> Den zieh ich heute Abend um
und einmal 2016 -> Da konnte ich es aktivieren.

Jetzt läufts :)
 
Hallo zusammen,

es gibt leider schlechte Nachrichten für alle die ihren Windows Server 2012R2 noch länger nutzen wollten:
SwissSign schafft es nicht die Cipher Suits zu aktivieren (lasse ich mal unkommentiert) und bietet maximal bis zum 10.10.2023 (EOL Windows Server 2012 R2) eine Übergangslösung an. Bei dieser müsste sich jeder Kunde separat bei der SwissSign Melden um dort IPs hinterlegen zu lassen und einen angepassten DNS Namen zu bekommen. Um diesen zu nutzen müsstet ihr dann auf der Firewall oder per DNS das ganze dem NSP beibringen, da wir Softwareseitig hier nicht male eben etwas ändern können.

Empfehlung meinerseits:
Schaut, dass ihr so schnell wie möglich auf eine neue Windows Server version kommt bevor der große Schwung an Zertifikatsverlängerungen kommt.
 
JanJäschke schrieb:
SwissSign schafft es nicht die Cipher Suits zu aktivieren (lasse ich mal unkommentiert) und bietet maximal bis zum 10.10.2023 (EOL Windows Server 2012 R2) eine Übergangslösung an.
Zum Vergrößern anklicken....
Wer im Glashaus sitzt... könnte da problemlos eine Geschichte aus eurem Haus erzählen. Und das war schon vor 2 Jahren der Fall. :(

Unabhängig davon ist das EoL von Windows Server 2012R2 bereits seit Jahren bekannt. Das sollte eigentlich jeder auf dem Schirm haben. Die Anzahl von sicheren Cipher Suites geht da Richtung 1-2-3.
 
Wir haben die getrennte Serverstruktur mit DMZ etc. Welcher Server übernimmt die Ausstellung der Zertifikate? bzw auf welchem Server müssen wir die TLS Verschlüsselungsarten prüfen.

wir bekommen folgende Fehlermeldung:

Requesting the certificate for E=userxy......@........de failed. Error: Unexpected error: Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.


Message:
Der Objektverweis wurde nicht auf eine Objektinstanz festgelegt.
Error type:
System.NullReferenceException

Error code: 2147500035
Program location:
bei Netatwork.NoSpamProxy.Cryptography.SwissSignCertificateProvider.<EnrollAsync>d__25.MoveNext()
 
Zuletzt bearbeitet:
Die Zertifikate werden von der MPKI von SwissSign ausgestellt. Die Konfiguration und Anforderung der Zertifikate erfolgt durch die Intranet-Rolle.
 
Die Anfragen passieren aktuell noch über die Gateway Rolle. (Intranet Rolle Tunnelt über das Gateway.)
Dabei muss der Zugriff auf "https://cmc.swisssign.ch " sichergestellt sein.
Zudem muss unbedingt beim Umstieg auf die neue MPKI der Enrollment Provider neu angelegt werden muss.
 
JanJäschke schrieb:
Die Anfragen passieren aktuell noch über die Gateway Rolle. (Intranet Rolle Tunnelt über das Gateway.)
Dabei muss der Zugriff auf "https://cmc.swisssign.ch " sichergestellt sein.
Zudem muss unbedingt beim Umstieg auf die neue MPKI der Enrollment Provider neu angelegt werden muss.
Zum Vergrößern anklicken....
Alles trifft zu. Wir bekommen aber folgender Fehlermeldung:

An unexpected response was returned from SwissSign. Please forward this error to Net at Work for further analysis.
Request:MIIErjCCApgCAQAwLzEtMCsGCSqGSIb3DQEJAQweZGlldHplbHVAbW......
Response
: <!doctype html><html lang="en"><head><title>Page not found</title></head><body><p>Page not found</p></body></html>
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

J
Gelöst Datenbank Replikation Fehler 1791
2
Antworten
20
Aufrufe
1K
StefanCink
StefanCink
K
Gelöst Neue Adresse der DOI-Mailertable funktioniert nicht
Antworten
4
Aufrufe
224
LTSEPP
LTSEPP
F
Probleme nach dem Update auf 14.1.0.99
2
Antworten
20
Aufrufe
2K
869288141
8
E
Probleme mit 32Guards?
Antworten
7
Aufrufe
130
JanJäschke
JanJäschke
M
15.0.0.222 - Message misclassification report - HTTP Error 500
Antworten
2
Aufrufe
99
Mueller
M
Zurück
Oben