• Bewerte uns auf OMR Reviews: Klick

  • 25Reports geht live, schaut es euch an: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

  • Zertifikate vom Deutschen Forschungsnetz beziehen (Harica CA)? Klick

TLS-Zertifikat zusätzlich in NSP-Store speichern?

S

Simon

Member
Registriert
12 Februar 2025
Beiträge
8
Reaktionspunkte
4
Hallo,

für den Tausch des TLS-Zertifikates habe ich mich an der Dokumentation orientiert: https://docs.nospamproxy.com/Server...t/How-tos/how-to-replace-tls-certificates.htm

Hier heißt es:
- Installation des TLS-Zertifikats auf allen GW-Rollen, Berechtigung des NSP-Services auf den Private Key
- Zusätzliche Installation des Zertifikats ohne Key auf der Intranetrolle

Das habe ich gemacht - ich konnte unter den Sende- und Empfangskonnektoren das neue Zertifikat auch auswählen. Danach habe ich analog dem Hinweis die Gateway-Rollen über das Command-Center neu gestartet.

Damit wäre ich eigentlich fertig. Paranoid wie ich bin, hab ich es noch einmal kontrolliert. Siehe da: In den Konnektoren unter Verbindungssicherheit wird das Zertifikat nicht korrekt angezeigt. Dort heißt es: Zertifikat nicht gefunden oder entfernt. Lediglich der Fingerprint wird angezeigt. In der Liste unter "Zertifikat auswählen" ist das Zertifikat allerdings vorhanden.

Nachdem ich das öffentliche Zertifikat zusätzlich noch in den Cert-Store des NSPs selbst importiert habe, passte alles wieder. Die Domain, für die das TLS-Zertifikat ausgestellt worden ist, wird nun auch angezeigt.

Daher die große Frage: Wo muss das Zertifikat auf der Gateway-Rolle denn nun importiert werden - in den Windows-Zertifikatsspeicher, den NoSpamProxy-Zertifikatsspeicher oder beides?

Viel Grüße
 
Ich habe gerade einmal die Gegenprobe durchgeführt und das Zertifikat aus dem Windows-Zertifikatsspeicher der Intranetrolle und aus dem Speicher des NSPs entfernt. Sobald ich es wieder in den Zertifikatsspeicher des NSPs importiert habe, konnte das Zertifikat in den Einstellungen korrekt aufgelöst werden. Würde daher behaupten, dass es auf den Gateway-Rollen den Windows-Zertifikatsspeicher benötigt und auf der Intranetrolle ausschließlich den NSP-eigenen Zertifikatsspeicher.
 
Guten Morgen Simon,
Simon schrieb:
Wo muss das Zertifikat auf der Gateway-Rolle denn nun importiert werden - in den Windows-Zertifikatsspeicher
Zum Vergrößern anklicken....
es reichte bis dato der Zertifikatsspeicher des Computers von Windows.

Die Doku scheint an der Stelle eine kl. Lücke zu haben. Bitte orentiere dich an dem Kommentar von Thomas:
ThomasGlöckner

Gelöst Beitrag im Thema 'Zertifikate für Konnektoren'

@wosit wurden die Berechtigungen auf den privaten Teil des Zertifikats gesetzt?
=> https://docs.nospamproxy.com/Server...t/How-tos/how-to-replace-tls-certificates.htm
1760078833213.png

Hier muss mindestens der lokale Dienst der NoSpamProxy Gatewayrolle lesend berechtigt werden. Idealerweise alle NoSpamProxy Dienste auf dem System mit der Gatewayrolle.

Wichtig das sind Dienste und nur auf dem lokalen Computer verfügbar, nicht in der Domäne!

Danach bitte noch einmal den Dienst der Gatewayrolle, nicht den ganzen Server, neu starten.

Kannst Du es dann im...
  • Like

Alternative verwende ich ein kl. PowerShell Skript, um die Berechtigungen zu setzen:
github.com

Powershell-Skripte/NoSpamProxy/Set-CertificatePermissions at master · dwydler/Powershell-Skripte

Contribute to dwydler/Powershell-Skripte development by creating an account on GitHub.
github.com github.com


Gruß,
Daniel
 
869288141 schrieb:
Guten Morgen Simon,

es reichte bis dato der Zertifikatsspeicher des Computers von Windows.

Die Doku scheint an der Stelle eine kl. Lücke zu haben. Bitte orentiere dich an dem Kommentar von Thomas:
ThomasGlöckner

Gelöst Beitrag im Thema 'Zertifikate für Konnektoren'

@wosit wurden die Berechtigungen auf den privaten Teil des Zertifikats gesetzt?
=> https://docs.nospamproxy.com/Server...t/How-tos/how-to-replace-tls-certificates.htm
1760078833213.png

Hier muss mindestens der lokale Dienst der NoSpamProxy Gatewayrolle lesend berechtigt werden. Idealerweise alle NoSpamProxy Dienste auf dem System mit der Gatewayrolle.

Wichtig das sind Dienste und nur auf dem lokalen Computer verfügbar, nicht in der Domäne!

Danach bitte noch einmal den Dienst der Gatewayrolle, nicht den ganzen Server, neu starten.

Kannst Du es dann im...
  • Like

Alternative verwende ich ein kl. PowerShell Skript, um die Berechtigungen zu setzen:
github.com

Powershell-Skripte/NoSpamProxy/Set-CertificatePermissions at master · dwydler/Powershell-Skripte

Contribute to dwydler/Powershell-Skripte development by creating an account on GitHub.
github.com github.com


Gruß,
Daniel
Zum Vergrößern anklicken....

Moin Daniel,

danke dir für die Rückmeldung. Ich glaube allerdings, dass der Kommentar von Thomas sich ausschließlich auf die Verwaltung des Certs auf der Gateway-Rolle bezieht. Der Part was für mich soweit klar - Installation in den Windows-Zertifikatsspeicher und Berechtigung des Services auf den privaten Schlüssel. Das hatte ich auch soweit durchgeführt. Wir haben die Gateway- und Intranetrolle separiert auf eigenen VMs. Die Frage bezog sich lediglich auf die Installation des Zertifikats ohne Key auf der Intranetrolle: Ob nun auch hier der Windows-Zertifikatsspeicher verwendet wird oder der NoSpamProxy-Store.

Nachdem ich das Zertifikat auch in den NSP-Store der Intranetrolle geladen habe, ging es ja. Der Fehler kann damit nicht auf der GW-Rolle liegen.

Was die Doku angeht, gebe ich dir Recht: es wird bei der GW-Rolle explizit der Windows-Zertifikatsspeicher genannt, bei der Intranetrolle wird allerdings implizit vom NoSpamProxy eigenen Speicher ausgegangen.

VG
 
Hallo Simon,
Simon schrieb:
Wir haben die Gateway- und Intranetrolle separiert auf eigenen VMs
Zum Vergrößern anklicken....
So sieht es bei mir auch auch. Zusätzlich befindet sich das Web Portal ebenfalls auf einer dedizierten VM.

Simon schrieb:
Die Frage bezog sich lediglich auf die Installation des Zertifikats ohne Key auf der Intranetrolle: Ob nun auch hier der Windows-Zertifikatsspeicher verwendet wird oder der NoSpamProxy-Store.
Zum Vergrößern anklicken....
Ich habe Ende Oktober 2025 die Zertifikate auf der Intranet Rolle, Gateways und Web Portal erneuert.
Auf der VM mit der Intranet Rolle habe ich das Zertifikat für die Intranet Rolle inkl. privaten Schlüssel im Zertifikatsspeicher von Windows Server (Computer) importiert. Zusätzlich habe ich das Zertifikat für die Gateway Rolle ohne privaten Schlüssel ebenfalls in den Zertifikatsspeicher Windows Server (Computer) importiert.

Anschließend mit Hilfe des PowerShell Skripts auf allen VMs die Berechtigungen für den privaten Schöüssel setzen lassen. Danach die neuen Zertifikate den Services (WebApp, Gateway Rolle, etc.) zugewiesen. Zum Schluss alle VMs neu gestartet.


Gruß,
Daniel
 
869288141 schrieb:
Zusätzlich habe ich das Zertifikat für die Gateway Rolle ohne privaten Schlüssel ebenfalls in den Zertifikatsspeicher Windows Server (Computer) importiert.
Zum Vergrößern anklicken....

Sicher? Die Gateway-Rollen brauchen den privaten Schlüssel. Dort terminiert ja auch die TLS-Verbindung. Die ganze Berechtigungsvergabe dreht sich um das delegieren des privaten Schlüssels.
 
Kurz und knapp:

Gateway Rolle: Windows Store mit Private Key und passenden Rechten

Intranet Rolle: reicht öffentlicher Schlüssel per NCC Import.

Die NCC zeigt es dir ohne den Import durch die NCC nur nicht korrekt an weil er außer dem Fingerabdruck nichts kennt. Die Infos fehlen in der Intranet Rolle.

Könnte man als kleinen bug in der Anzeige ansehen, der wird aber erstmal so bleiben 👍
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

W
Gelöst Zertifikate für Konnektoren
Antworten
12
Aufrufe
215
wosit
W
B
Zertifikatsautomatisierung
Antworten
6
Aufrufe
193
869288141
8
M
Verkürzungen der Zertifikatslaufzeiten in den nächsten Monaten/Jahren
Antworten
1
Aufrufe
33
869288141
8
D
Gelöst TLS Verschlüsselung Standard einsehen
Antworten
19
Aufrufe
329
Sören
Sören
B
Gelöst DB Replikationsfehler nach Update auf Patch 15.5.0
Antworten
11
Aufrufe
290
869288141
8
Zurück
Oben