Zertifikat von EBCA-Keyserver wird nicht abgerufen?

[mabu]

Hallo.

Ich habe den Keyserver der EBCA wie hier erklärt im NSP hinzugefügt.

Über https://dir.ebca.de/ kann ich das gewünschte Zertifikat abrufen. Schicke ich eine Mail an diese Mailadresse, wird die Mail weiterhin unverschlüsselt verschickt ("kein Verschlüsselungsschlüssel gefunden").

Im "Partner" unter "Benutzer" ist bei der Mailadresse ein Zertifikat eingetragen, das aber nur zum Signieren eingesetzt werden kann (mein Thread von gestern).

Ich habe nun keine Ahnung, warum durch den EBCA-Keyserver nicht das passende Verschlüsselungszertifikat abgerufen wird.

Konfig Keyserver EBCA:

• Servername: dir.ebca.de
• Port 389
• Authentifizierung anonym
• LDAP-Suche: o=ebca
• LDAP-Filter (mail=%e)
• LDAP-Felder - x.509 abrufen: userCertificate;binary
• Domänen: für alle nutzen

Fragen:

1. kann ich im NSP irgendwie die eingetragenen Keyserver testen? evtl. habe ich ja doch was falsch konfiguriert (fände es super, wenn unter "Öffentliche Schlüsselserver" ein Eingabefeld zum Testen vorhanden wäre)
2. EBCA hat auf dieser Seite unten bei "Für Gatewayanbieter" den Hinweis, dass Einbindung der Filterliste Voraussetzung für Nutzung ist, "da ansonsten Sicherheitsmechanismen greifen und Nutzer sperren könnten". Die Filterliste ist aber laaang. (Anmerkung: auf der Filterliste ist netatwork.de und nospamproxy.de enthalten - somit wäre doch auch eine "feste" Integration im NSP möglich, oder?)

Danke vorab für hoffentlich zeitnahe Antworten. (Und sorry für die andauernden Fragen)

 

[StefanCink]

Hallo Martin,

da Open Keys den EBCA Server ohnehin abfragt (natürlich mit den entsprechenden Filtern), reicht es aus, in NoSpamProxy Open Keys zu aktivieren. Auf den Inhalt der Schlüssel haben allerdings weder Net at Work noch TeleTrust als Betreiber der EBCA Einfluss. Hier sind die Zertifikatsaussteller gefragt, die korrekten Schlüssel zu liefern. Die EBCA macht letztlich auch nichts anderes, als die LDAP Server der angeschlossenen Organisationen abzufragen.

Gruß Stefan

 

[mabu]

Leider wird mir nur über die EBCA-Seite für die Mailadresse ein Ergebnis geliefert. Bei OpenKeys findet er für die Mailadresse nichts.

PS: vielleicht kann ich da am Nachmittag mal mit dem Support direkt sprechen? Bin telefonisch bisher nicht durchgekommen

 

[mabu]

Zusatz zu "Signaturschlüssel" wird trotz EBCA-Keyserver im NSP nicht gefunden:

1. die Mailadresse, an die gesendet wird, ist im NSP inkl. einem Zertifikat (nur für Signatur nutzbar) vorhanden --> evtl. deswegen keine Abfrage an Keyserver?
2. evtl. scheitert die Abfrage an Keyserver EBCA? -> vielleicht, weil falsch konfiguriert? EBCA erwähnt ja was von möglichem Sperren von Abfragen

Ich sehe aktuell überhaupt keine Möglichkeit, hier die Ursache im NSP näher einzugrenzen  (Daher wäre es schön, wenn bei den Keyservern eine Möglichkeit zur Testabfrage vorhanden wäre)

Theoretisch könnte ich die Verschlüsselungszertifikate, die ich in der Websuche bei EBCA finde, im NSP hinzufügen. Will hier aber doch lieber die Automatik nutzen.

:huh: So viele ungeklärte Fragen :huh:

 

[mabu]

Hat heute dann funktioniert.

Aber so 100% nachvollziehabr finde ich das aus Admin-Sicht irgendwie nicht. Ist ein wenig "Fischen im Trüben". Zumindest bin ich nun früh, dass es jetzt bei diesen Mails funktioniert.

Offene Fragen habe ich aber noch genug

 

[Patrick]

Leider wird mir nur über die EBCA-Seite für die Mailadresse ein Ergebnis geliefert. Bei OpenKeys findet er für die Mailadresse nichts.

Bei uns konnte ich gerade dasselbe Phänomen feststellen, es handelt sich hier um die Domain db.com. Bei einer Stichprobe von mehreren E-Mail-Adressen konnte ich dafür über OpenKeys.de kein Zertifikat finden (auch die Abfrage über die REST-API bringt kein Ergebnis). Die Suche über https://dir.ebca.de/ war allerdings erfolgreich.

Laut der Filterliste gehört auch db.com zu den abgefragten Domains. Nach meinem Verständnis sollten diese Adressen also auch bei OpenKeys.de auftauchen, korrekt?
Bei dem aktuellen Verhalten wäre zu überlegen, ob wir dir.ebca.de nicht auch einfach zu den öffentlichen Schlüsselservern im NSP hinzufügen sollen.

-Patrick

 

[JanJäschke]

Guten Morgen Patrick,

ich gebe das Thema an die Entwicklung weiter. Mir ist leider momentan selbst schleierhaft warum die Abfrage nicht funktioniert.


LG
Jan

 

[Patrick]

ich gebe das Thema an die Entwicklung weiter. Mir ist leider momentan selbst schleierhaft warum die Abfrage nicht funktioniert.

Gibt es diesbezüglich schon was neues? Die Suche nach db.com über OpenKeys schlägt leider weiterhin fehl.

 

[JanJäschke]

Hallo Patrick,

ja und nein.

Wir haben zwei fehler gefunden, einer war leider was versteckt und hat zu folge, dass wir im Server Backend etwas austauschen werden.
Die Implimentierung ist soweit schon fertig nun müssen wir nur noch ausreichend testen ob die Änderung stabil und performant bleibt.

Ich muss somit leider noch um etwas geduld bitten


LG
Jan

 

[JanJäschke]

Guten Morgen Patrick,

nun solltest du die db.com Zertifikate finden.
Ich habe leider nur die öffetnlich findbare Adresse: deutsche.bank@db.com
Aber mit dieser hat es nun problemlos funktoiniert

Beste Grüße und einen guten Start in die Woche,
Jan

 

[Patrick]

Hallo Jan,

perfekt, vielen Dank! Konnte das Verhalten mit ein paar anderen Adressen auch erfolgreich testen.

Viele Grüße,
Patrick