1
Fehler bei SMIME Zertifikatskette aus LDAP Adressbuch
Hallo zusammen,
ich habe ein etwas seltsames Problem mit SMIME-Zertifikaten aus einem LDAP Adressbuch.
Kurze technische Erklärung:
Wir verwenden einen externen Dienst, der uns SMIME-Zertifikate von Partnern zur Verfügung stellt (certBox).
Hierzu binde ich ein zusätzliches LDAP-Adressbuch in Outlook ein. Wenn wir nun an einen Partner verschlüsselte Mails verschicken möchten, dann können wir ohne den klassischen SMIME-Mail-Pingpong zum Austausch der Zertifikate verschlüsselt kommunizieren, da wir die Zertifikate vom dem Partner-Directory erhalten.
Ich habe das soweit eingerichtet, aber beim Versenden an eine Partner-Mailadresse erhalte ich trotzdem den Fehler im Outlook, dass kein Zertifikat gefunden wurde oder das Zertifikate nicht valide ist.
Fehleranalyse inkl. Wireshark-Mitschnitt hat gezeigt, dass das externe Directory ein korrektes Zertifikat zurück liefert. Die weitere Analyse hat dann gezeigt, dass die Zertifikatskette nicht erstellt werden konnte. Hier die Auszüge aus den Events mit Event-ID 11 und 19 im CAPI2-Eventlog:
--- EVENT-ID 11 ---
Protokollname: Microsoft-Windows-CAPI2/Operational
Quelle: Microsoft-Windows-CAPI2
Datum: 07.03.2025 14:09:02
Ereignis-ID: 11
Aufgabenkategorie:Kette erstellen
Ebene: Fehler
Schlüsselwörter:Pfadsuche,Pfadüberprüfung
<TrustStatus>
<ErrorStatus value="1010040" CERT_TRUST_REVOCATION_STATUS_UNKNOWN="true" CERT_TRUST_IS_OFFLINE_REVOCATION="true" CERT_TRUST_IS_PARTIAL_CHAIN="true" />
<InfoStatus value="0" />
</TrustStatus>
<RevocationInfo>
<RevocationResult value="80092013">Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.</RevocationResult>
</RevocationInfo>
<EventAuxInfo ProcessName="OUTLOOK.EXE" />
<CorrelationAuxInfo TaskId="{E8CE0C50-5C8A-4DB6-BA90-A62AC596DC8C}" SeqNumber="3" />
<Result value="800B010A">Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden.</Result>
</CertGetCertificateChain>
Das seltsame ist, wenn ich das SMIME-Zertifikat des Benutzers herunterlade und manuell öffne, dann ist die Kette vorhanden in Ordnung und ich kann ab dann problemlos SMIME-Verschlüsselt kommunizieren.
Meine erste Idee war Einschränkungen durch unsere Zentrale, daher habe ich ein vollständig neu installiertes System verwendet und das gleiche Ergebnis erhalten. Scheinbar keine GPO- oder Intune-Policy.
Meine nächste Idee war, ob Outlook irgendein Problem mit Proxy-Settings etc. hat und daher die CRL nicht prüfen kann. Ich sehe aber im Wireshark keine geblockte Verbindung. Auch in der Firewall sehe ich keine blockierte Anfrage.
Kenn jemand ein solches Verhalten. Der Service Provider der certBox sagt mir, dass alles normal konfiguriert wäre.
Kennt jemand ein solches Verhalten?
Bin für jeden Tipp dankbar.
Vielen Dank!
Tsukaito
ich habe ein etwas seltsames Problem mit SMIME-Zertifikaten aus einem LDAP Adressbuch.
Kurze technische Erklärung:
Wir verwenden einen externen Dienst, der uns SMIME-Zertifikate von Partnern zur Verfügung stellt (certBox).
Hierzu binde ich ein zusätzliches LDAP-Adressbuch in Outlook ein. Wenn wir nun an einen Partner verschlüsselte Mails verschicken möchten, dann können wir ohne den klassischen SMIME-Mail-Pingpong zum Austausch der Zertifikate verschlüsselt kommunizieren, da wir die Zertifikate vom dem Partner-Directory erhalten.
Ich habe das soweit eingerichtet, aber beim Versenden an eine Partner-Mailadresse erhalte ich trotzdem den Fehler im Outlook, dass kein Zertifikat gefunden wurde oder das Zertifikate nicht valide ist.
Fehleranalyse inkl. Wireshark-Mitschnitt hat gezeigt, dass das externe Directory ein korrektes Zertifikat zurück liefert. Die weitere Analyse hat dann gezeigt, dass die Zertifikatskette nicht erstellt werden konnte. Hier die Auszüge aus den Events mit Event-ID 11 und 19 im CAPI2-Eventlog:
--- EVENT-ID 11 ---
Protokollname: Microsoft-Windows-CAPI2/Operational
Quelle: Microsoft-Windows-CAPI2
Datum: 07.03.2025 14:09:02
Ereignis-ID: 11
Aufgabenkategorie:Kette erstellen
Ebene: Fehler
Schlüsselwörter:Pfadsuche,Pfadüberprüfung
<TrustStatus>
<ErrorStatus value="1010040" CERT_TRUST_REVOCATION_STATUS_UNKNOWN="true" CERT_TRUST_IS_OFFLINE_REVOCATION="true" CERT_TRUST_IS_PARTIAL_CHAIN="true" />
<InfoStatus value="0" />
</TrustStatus>
<RevocationInfo>
<RevocationResult value="80092013">Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.</RevocationResult>
</RevocationInfo>
<EventAuxInfo ProcessName="OUTLOOK.EXE" />
<CorrelationAuxInfo TaskId="{E8CE0C50-5C8A-4DB6-BA90-A62AC596DC8C}" SeqNumber="3" />
<Result value="800B010A">Eine Zertifikatkette zu einer vertrauenswürdigen Stammzertifizierungsstelle konnte nicht aufgebaut werden.</Result>
</CertGetCertificateChain>
Das seltsame ist, wenn ich das SMIME-Zertifikat des Benutzers herunterlade und manuell öffne, dann ist die Kette vorhanden in Ordnung und ich kann ab dann problemlos SMIME-Verschlüsselt kommunizieren.
Meine erste Idee war Einschränkungen durch unsere Zentrale, daher habe ich ein vollständig neu installiertes System verwendet und das gleiche Ergebnis erhalten. Scheinbar keine GPO- oder Intune-Policy.
Meine nächste Idee war, ob Outlook irgendein Problem mit Proxy-Settings etc. hat und daher die CRL nicht prüfen kann. Ich sehe aber im Wireshark keine geblockte Verbindung. Auch in der Firewall sehe ich keine blockierte Anfrage.
Kenn jemand ein solches Verhalten. Der Service Provider der certBox sagt mir, dass alles normal konfiguriert wäre.
Kennt jemand ein solches Verhalten?
Bin für jeden Tipp dankbar.
Vielen Dank!
Tsukaito
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671970
Url: https://administrator.de/forum/fehler-bei-smime-zertifikatskette-aus-ldap-adressbuch-671970.html
Ausgedruckt am: 17.03.2025 um 02:03 Uhr
1 Kommentar
Nimm die URL der CRL aus dem CA Zertifikat und füge sie von Hand in einen Browser ein und prüfe ob sie damit abrufbar ist.
Wenn nicht, hast du dein Problem. Dann ist entweder die Sperrliste beim CA Anbieter offline oder aus deinem Netz gibt es Abrufprobleme oder das Routing zur Sperrliste läuft bei deinem Provider ins leere.
Nutzt ihr einen Proxy ? Wenn ja, bitte die Settings unter netsh winhttp prüfen ob dort der Proxy dann auch hinterlegt ist, denn darüber ruft Windows die CRLs ab.
Wenn nicht, hast du dein Problem. Dann ist entweder die Sperrliste beim CA Anbieter offline oder aus deinem Netz gibt es Abrufprobleme oder das Routing zur Sperrliste läuft bei deinem Provider ins leere.
Nutzt ihr einen Proxy ? Wenn ja, bitte die Settings unter netsh winhttp prüfen ob dort der Proxy dann auch hinterlegt ist, denn darüber ruft Windows die CRLs ab.
