• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Zertifikat von EBCA-Keyserver wird nicht abgerufen?

mabu

Well-known member
Hallo.

Ich habe den Keyserver der EBCA wie hier erklärt im NSP hinzugefügt.

Über https://dir.ebca.de/ kann ich das gewünschte Zertifikat abrufen. Schicke ich eine Mail an diese Mailadresse, wird die Mail weiterhin unverschlüsselt verschickt ("kein Verschlüsselungsschlüssel gefunden").

Im "Partner" unter "Benutzer" ist bei der Mailadresse ein Zertifikat eingetragen, das aber nur zum Signieren eingesetzt werden kann (mein Thread von gestern).

Ich habe nun keine Ahnung, warum durch den EBCA-Keyserver nicht das passende Verschlüsselungszertifikat abgerufen wird.

Konfig Keyserver EBCA:
  • Servername: dir.ebca.de
  • Port 389
  • Authentifizierung anonym
  • LDAP-Suche: o=ebca
  • LDAP-Filter (mail=%e)
  • LDAP-Felder - x.509 abrufen: userCertificate;binary
  • Domänen: für alle nutzen
Fragen:
  1. kann ich im NSP irgendwie die eingetragenen Keyserver testen? evtl. habe ich ja doch was falsch konfiguriert (fände es super, wenn unter "Öffentliche Schlüsselserver" ein Eingabefeld zum Testen vorhanden wäre)
  2. EBCA hat auf dieser Seite unten bei "Für Gatewayanbieter" den Hinweis, dass Einbindung der Filterliste Voraussetzung für Nutzung ist, "da ansonsten Sicherheitsmechanismen greifen und Nutzer sperren könnten". Die Filterliste ist aber laaang. (Anmerkung: auf der Filterliste ist netatwork.de und nospamproxy.de enthalten - somit wäre doch auch eine "feste" Integration im NSP möglich, oder?)
Danke vorab für hoffentlich zeitnahe Antworten. (Und sorry für die andauernden Fragen)
 
Hallo Martin,

da Open Keys den EBCA Server ohnehin abfragt (natürlich mit den entsprechenden Filtern), reicht es aus, in NoSpamProxy Open Keys zu aktivieren. Auf den Inhalt der Schlüssel haben allerdings weder Net at Work noch TeleTrust als Betreiber der EBCA Einfluss. Hier sind die Zertifikatsaussteller gefragt, die korrekten Schlüssel zu liefern. Die EBCA macht letztlich auch nichts anderes, als die LDAP Server der angeschlossenen Organisationen abzufragen.

Gruß Stefan
 
Leider wird mir nur über die EBCA-Seite für die Mailadresse ein Ergebnis geliefert. Bei OpenKeys findet er für die Mailadresse nichts.

PS: vielleicht kann ich da am Nachmittag mal mit dem Support direkt sprechen? Bin telefonisch bisher nicht durchgekommen
 
Zusatz zu "Signaturschlüssel" wird trotz EBCA-Keyserver im NSP nicht gefunden:
  1. die Mailadresse, an die gesendet wird, ist im NSP inkl. einem Zertifikat (nur für Signatur nutzbar) vorhanden --> evtl. deswegen keine Abfrage an Keyserver?
  2. evtl. scheitert die Abfrage an Keyserver EBCA? -> vielleicht, weil falsch konfiguriert? EBCA erwähnt ja was von möglichem Sperren von Abfragen
Ich sehe aktuell überhaupt keine Möglichkeit, hier die Ursache im NSP näher einzugrenzen  :( (Daher wäre es schön, wenn bei den Keyservern eine Möglichkeit zur Testabfrage vorhanden wäre)

Theoretisch könnte ich die Verschlüsselungszertifikate, die ich in der Websuche bei EBCA finde, im NSP hinzufügen. Will hier aber doch lieber die Automatik nutzen.

:huh: So viele ungeklärte Fragen :huh:
 
Hat heute dann funktioniert.

Aber so 100% nachvollziehabr finde ich das aus Admin-Sicht irgendwie nicht. Ist ein wenig "Fischen im Trüben". Zumindest bin ich nun früh, dass es jetzt bei diesen Mails funktioniert.

Offene Fragen habe ich aber noch genug
 
mabu schrieb:
Leider wird mir nur über die EBCA-Seite für die Mailadresse ein Ergebnis geliefert. Bei OpenKeys findet er für die Mailadresse nichts.

Bei uns konnte ich gerade dasselbe Phänomen feststellen, es handelt sich hier um die Domain db.com. Bei einer Stichprobe von mehreren E-Mail-Adressen konnte ich dafür über OpenKeys.de kein Zertifikat finden (auch die Abfrage über die REST-API bringt kein Ergebnis). Die Suche über https://dir.ebca.de/ war allerdings erfolgreich.

Laut der Filterliste gehört auch db.com zu den abgefragten Domains. Nach meinem Verständnis sollten diese Adressen also auch bei OpenKeys.de auftauchen, korrekt?
Bei dem aktuellen Verhalten wäre zu überlegen, ob wir dir.ebca.de nicht auch einfach zu den öffentlichen Schlüsselservern im NSP hinzufügen sollen.

-Patrick
 
Guten Morgen Patrick,

ich gebe das Thema an die Entwicklung weiter. Mir ist leider momentan selbst schleierhaft warum die Abfrage nicht funktioniert.


LG
Jan
 
JanJäschke schrieb:
ich gebe das Thema an die Entwicklung weiter. Mir ist leider momentan selbst schleierhaft warum die Abfrage nicht funktioniert.

Gibt es diesbezüglich schon was neues? Die Suche nach db.com über OpenKeys schlägt leider weiterhin fehl.
 
Hallo Patrick,

ja und nein.

Wir haben zwei fehler gefunden, einer war leider was versteckt und hat zu folge, dass wir im Server Backend etwas austauschen werden.
Die Implimentierung ist soweit schon fertig nun müssen wir nur noch ausreichend testen ob die Änderung stabil und performant bleibt.

Ich muss somit leider noch um etwas geduld bitten :)


LG
Jan
 
Guten Morgen Patrick,

nun solltest du die db.com Zertifikate finden.
Ich habe leider nur die öffetnlich findbare Adresse: deutsche.bank@db.com
Aber mit dieser hat es nun problemlos funktoiniert ;)

Beste Grüße und einen guten Start in die Woche,
Jan
 
Hallo Jan,

perfekt, vielen Dank! Konnte das Verhalten mit ein paar anderen Adressen auch erfolgreich testen. :)

Viele Grüße,
Patrick
 
Hallo Martin,

da Open Keys den EBCA Server ohnehin abfragt (natürlich mit den entsprechenden Filtern), reicht es aus, in NoSpamProxy Open Keys zu aktivieren. Auf den Inhalt der Schlüssel haben allerdings weder Net at Work noch TeleTrust als Betreiber der EBCA Einfluss. Hier sind die Zertifikatsaussteller gefragt, die korrekten Schlüssel zu liefern. Die EBCA macht letztlich auch nichts anderes, als die LDAP Server der angeschlossenen Organisationen abzufragen.

Gruß Stefan

Hallo Stefan
Gibt es irgendwo eine Liste der in OpenKeys verlinkten öffendlichen LDAP's ? Ich habe nichts der gleichen gefunden.
ist z.B. die DFN PKI eingebunden ?

Name: DFN PKI LDAP
Server-Adresse: ldap.pca.dfn.de
Basis-DN: O=DFN-Verein,c=DE
Port-Nummer: 636
Verschlüsselte Verbindung (SSL) verwenden

Grüße, Rolf
 
Guten Morgen Rolf,

die DFN ist bereits im OpenKeys angebunden. Jedoch haben wir derzeit einen anderen Base DN.
Im ersten Blick weichen deine Angaben von weiteren Infos der DFN Seite ab. (Deine Daten sehen mir jedoch korrekter aus ;) )
Ich teste den DFN LDAP später einmal manuell und werde dann veranlassen, dass wir die OpenKeys Konfiguration ebenfalls anpassen.

Gruß
Jan
 
Moin Jan
Ich kann zumindest vermelden, das wenn das DFN als LDAP eingebunden ist, erfolgreich ein Zertifikat aus der DFN PKI abgerufen wurde.
Aber eine Liste der an Openkesy angebundenen Verzeichnisse gibt es nicht ?
Grüße, Rolf
 
DFN ist nun angepasst und zumindest in meinem Test wurde jetzt auch wieder ein Zertifikat gefunden :)

Bezüglich der Liste:
Ich bereite das mal auf damit es übersichtlich ist, wir werden es zudem in die FAQ von OpenKeys aufnehmen.

Grüße
Jan
 
Zurück
Oben