34
S-MIME E-Mail Signatur wird als ungültig angezeigt - oder auch nicht!?
Guten Morgen zusammen,
folgendes Szenario: Ausgehende E-Mails eines Unternehmens werden mit persönlichen S/MIME Zertifikaten automatisch über eine Gateway-Lösung signiert.
Sobald eine gesendete Mail (signiert) beim Kunden ankommt, wird die Signatur im Outlook als ungültig/nicht vertrauenswürdig angezeigt. Sobald sich die Empfänger-Seite das Zertifikat dann im Outlook anzeigen lässt, springt es nach kurzer Zeit um und alles ist in Ordnung.
Dieser Vorgang der Zertifikatsüberprüfung funktioniert leider nicht automatisch - der Fehler wird so lange angezeigt, bis man sich die Details des Fehlers und das Zertifikat anzeigen lasse. Ohne etwas zu klicken oder zu bestätigen, ändert sich der Status nach kurzer Zeit automatisch auf "sicher", da an dieser Stelle das Zertifikat dann wohl (endlich) überprüft wurde.
Da ich ein Problem mit der Outlook-Installation und/oder dem Exchange-Server (auf Empfänger-Seite) ausschließen wollte, habe ich verschiedene Systeme getestet - überall das gleiche Spiel. Es scheint sich also um ein allgemeines Thema zu handeln, für dass ich momentan leider keine Lösung parat habe.
Irgendwie muss es sich doch einrichten lassen, dass Outlook das Zertifikat sowohl automatisch als auch zügig prüft.
Hat jemand in dieser Hinsicht Erfahrungen und kann mir einen Tipp geben?
Vielen Dank
LG Philzip
folgendes Szenario: Ausgehende E-Mails eines Unternehmens werden mit persönlichen S/MIME Zertifikaten automatisch über eine Gateway-Lösung signiert.
Sobald eine gesendete Mail (signiert) beim Kunden ankommt, wird die Signatur im Outlook als ungültig/nicht vertrauenswürdig angezeigt. Sobald sich die Empfänger-Seite das Zertifikat dann im Outlook anzeigen lässt, springt es nach kurzer Zeit um und alles ist in Ordnung.
Dieser Vorgang der Zertifikatsüberprüfung funktioniert leider nicht automatisch - der Fehler wird so lange angezeigt, bis man sich die Details des Fehlers und das Zertifikat anzeigen lasse. Ohne etwas zu klicken oder zu bestätigen, ändert sich der Status nach kurzer Zeit automatisch auf "sicher", da an dieser Stelle das Zertifikat dann wohl (endlich) überprüft wurde.
Da ich ein Problem mit der Outlook-Installation und/oder dem Exchange-Server (auf Empfänger-Seite) ausschließen wollte, habe ich verschiedene Systeme getestet - überall das gleiche Spiel. Es scheint sich also um ein allgemeines Thema zu handeln, für dass ich momentan leider keine Lösung parat habe.
Irgendwie muss es sich doch einrichten lassen, dass Outlook das Zertifikat sowohl automatisch als auch zügig prüft.
Hat jemand in dieser Hinsicht Erfahrungen und kann mir einen Tipp geben?
Vielen Dank
LG Philzip
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 384586
Url: https://administrator.de/contentid/384586
Printed on: April 18, 2024 at 06:04 o'clock
34 Comments
Latest comment
Zitat von @Philzip:
Sobald eine gesendete Mail (signiert) beim Kunden ankommt, wird die Signatur im Outlook als ungültig/nicht vertrauenswürdig angezeigt. Sobald ich mir das Zertifikat dann im Outlook anzeigen lasse, springt es nach kurzer Zeit um und alles ist in Ordnung.
Sobald eine gesendete Mail (signiert) beim Kunden ankommt, wird die Signatur im Outlook als ungültig/nicht vertrauenswürdig angezeigt. Sobald ich mir das Zertifikat dann im Outlook anzeigen lasse, springt es nach kurzer Zeit um und alles ist in Ordnung.
Moin,
nur zum Verständnis: Die Signatur wird beim Kunden als ungültig angezeigt und wenn Du Dir das Zertifikat anschaust wird, springt es auf grün beim Kunden? Oder wenn der Kunde sich die Details anschaut?
Vielleicht überarbeitest Du mal den Text, damit das klarer wird.
Für Fall Zwei tippe ich auf timeout/connection zu eurem Gateway.
Gruss
Hatte befürchtet dass mein Text zur Verwirrung führt :P
In dem zitierten Satz war ich der Kunde - daher ist das "ich" auch gerne durch "Kunde" auszutauschen
Es springt auf grün um, sobald der Kunde sich die Details des Zertifikats anzeigen lässt.
PS: Timeout zum Gateway ist ausgeschlossen, es handelt sich um öffentliche Zertifikate von GlobalSign.
In dem zitierten Satz war ich der Kunde - daher ist das "ich" auch gerne durch "Kunde" auszutauschen
Es springt auf grün um, sobald der Kunde sich die Details des Zertifikats anzeigen lässt.PS: Timeout zum Gateway ist ausgeschlossen, es handelt sich um öffentliche Zertifikate von GlobalSign.
Hallo,
Gruß,
Peter
Zitat von @Philzip:
PS: Timeout zum Gateway ist ausgeschlossen, es handelt sich um öffentliche Zertifikate von GlobalSign.
Und das Zertifikat liegt beu euch auf euren Server, oder? Lass mal beim Kundne ein Wireshark mitlaufen der die Kommunikation mit euch überwacht bzw. auch den weg der Zertifikatsbestätigung. Irgendwo klemmt da etwas. Oder von euch aus aber von einer anderen Öffentlichen IP aus.PS: Timeout zum Gateway ist ausgeschlossen, es handelt sich um öffentliche Zertifikate von GlobalSign.
Gruß,
Peter
Ist es denn so, dass die Zertifikate mit unserem System gegengeprüft werden? Bei unseren ist ja GlobalSign die CA, intern gibt es keine.
Ausgestellt wurden die Zertifikate ja auch nicht von uns, sondern von GlobalSign. Über unser Gateway wurden sie lediglich beantragt.
Ausgestellt wurden die Zertifikate ja auch nicht von uns, sondern von GlobalSign. Über unser Gateway wurden sie lediglich beantragt.
Hallo,
https://docs.microsoft.com/en-us/exchange/plan-and-deploy/post-installat ...
https://docs.microsoft.com/en-us/exchange/architecture/client-access/cer ...
https://community.spiceworks.com/topic/1252629-exchange-server-ssl-certi ...
http://techgenix.com/managing-exchange-certificates/
Gruß,
Peter
Zitat von @Philzip:
Ausgestellt wurden die Zertifikate ja auch nicht von uns, sondern von GlobalSign. Über unser Gateway wurden sie lediglich beantragt.
Das ihr die nicht ausgestellt habt ist klar, sonst hättest du wohl von selbstausgestellten Zeritifikaten gesprochen. Schau doch erstmal wo es hängt, denn das es hängt schreibst du ja. Es gibt also einen Timeout, nur wo bzw. warum. Hast du das wo kannst du weiter eingrenzen bzw. suchen. Vielleicht ist es auch nur der DNS beim Kunden der nicht so richtig will. Oder nutzen eine andere Öffentliche IP um so eine Mail mal abzurufen und gegenzuchecken. Nur denk dran, du bist wohl nicht für die IT beim Kunden zuständig. Ist das Verhalten bei all euren Kunden wo die EMails Signiert werden so, oder nur bei diesem? Schließe aus was nicht der Fehler ist, übrig bleibt der Fehler.Ausgestellt wurden die Zertifikate ja auch nicht von uns, sondern von GlobalSign. Über unser Gateway wurden sie lediglich beantragt.
https://docs.microsoft.com/en-us/exchange/plan-and-deploy/post-installat ...
https://docs.microsoft.com/en-us/exchange/architecture/client-access/cer ...
https://community.spiceworks.com/topic/1252629-exchange-server-ssl-certi ...
http://techgenix.com/managing-exchange-certificates/
Gruß,
Peter
Das Problem tritt bei allen Empfängern auf - unabhängig von Exchange-/ und Outlook-Version.
Neben Exchange und/oder Outlook als Verursachern wäre für mich der einzig plausibel erscheinende Grund Verbindungsprobleme zur GlobalSign CA - was ja hoffentlich auszuschließen ist. Vor allem deshalb, weil das Problem nicht nur ab und zu sondern immer und überall auftritt.
Um auszuschließen dass es an Outlook liegt wollte ich mal eine signierte Mail über das OWA (des Kunden) öffnen. Leider konnte ich das Thema dort aufgrund fehlender S/MIME Unterstützung nicht reproduzieren. IE, Edge und Chrome habe ich getestet.
Neben Exchange und/oder Outlook als Verursachern wäre für mich der einzig plausibel erscheinende Grund Verbindungsprobleme zur GlobalSign CA - was ja hoffentlich auszuschließen ist. Vor allem deshalb, weil das Problem nicht nur ab und zu sondern immer und überall auftritt.
Um auszuschließen dass es an Outlook liegt wollte ich mal eine signierte Mail über das OWA (des Kunden) öffnen. Leider konnte ich das Thema dort aufgrund fehlender S/MIME Unterstützung nicht reproduzieren. IE, Edge und Chrome habe ich getestet.
Hallo,
Gruß,
Peter
Zitat von @Philzip:
Das Problem tritt bei allen Empfängern auf - unabhängig von Exchange-/ und Outlook-Version.
Wann fing das Problem an? Hat es vorher denn schon funktioniert?Das Problem tritt bei allen Empfängern auf - unabhängig von Exchange-/ und Outlook-Version.
Gruß,
Peter
Das Gateway für Mailverschlüsselung/-Signierung wurde gerade erst in Betrieb genommen - es hat also bislang noch nicht funktioniert.
Hallo,
Gruß,
Peter
Zitat von @Philzip:
Das Gateway für Mailverschlüsselung/-Signierung wurde gerade erst in Betrieb genommen
Und sicher das dabei kein Fehler gemacht wurde oder etwas vergesssen wurde? Habt ihr das selbst gemacht oder ein Dienstleister der es kann? Was sagt der uns unbekannte Hersteller dieser Lösung zu dein Problem?Das Gateway für Mailverschlüsselung/-Signierung wurde gerade erst in Betrieb genommen
Gruß,
Peter
Ja, da bin ich sicher. Habe ich selbst gemacht mit Unterstützung des Herstellers, da ich von dieser Sorte bislang kein System eingerichtet hatte. Der einzige Unterschied zu anderen Gateways (Spam-Filter etc., kein S/MIME) ist das Zertifikatsthema - und hier geht der Konfigurationsaufwand gegen Null. Die Zertifikate werden über eine Managed PKI verwaltet und die Regeln für den Mailversand sind ebenfalls sehr simpel.
Die Signierung aller E-Mails ist auch quasi nur ein "Bonus" - der ursprüngliche Verwendungszweck war der, dass mit einem Kunden zwingend eine verschlüsselte E-Mail-Kommunikation benötigt wird. Diese läuft auch ordnungsgemäß.
Die Signierung aller E-Mails ist auch quasi nur ein "Bonus" - der ursprüngliche Verwendungszweck war der, dass mit einem Kunden zwingend eine verschlüsselte E-Mail-Kommunikation benötigt wird. Diese läuft auch ordnungsgemäß.
Hallo,
Wende dich an diesen unbekannten Hersteller.
Gruß,
Peter
Zitat von @Philzip:
dass mit einem Kunden zwingend eine verschlüsselte E-Mail-Kommunikation benötigt wird. Diese läuft auch ordnungsgemäß.
Und wieso sagst du danndass mit einem Kunden zwingend eine verschlüsselte E-Mail-Kommunikation benötigt wird. Diese läuft auch ordnungsgemäß.
es hat also bislang noch nicht funktioniert.
Gruß,
Peter
Das sind zwei paar Schuhe. Die E-Mail-Verschlüsselung findet zwischen den Gateways statt, damit hat Outlook nichts zu tun.
Der unbekannte Hersteller ist übrigens NoSpamProxy - mit denen habe ich als erstes telefoniert. Wenn das mit der Einstufung eines Zertifikates ein dauerhafte Problem ist, gibt es verschiedene Ansätze (z.B. wenn der Signatur-Hash warum auch immer auf dem Weg verändert wurde) - da es sich aber beim Betrachten der Details von alleine löst, deutet alles darauf hin, dass das Problem bei Windows/Outlook zu suchen ist.
Der unbekannte Hersteller ist übrigens NoSpamProxy - mit denen habe ich als erstes telefoniert. Wenn das mit der Einstufung eines Zertifikates ein dauerhafte Problem ist, gibt es verschiedene Ansätze (z.B. wenn der Signatur-Hash warum auch immer auf dem Weg verändert wurde) - da es sich aber beim Betrachten der Details von alleine löst, deutet alles darauf hin, dass das Problem bei Windows/Outlook zu suchen ist.
Servus,
funkt hier evtl. irgendeine Gateway-/Firewall-Lösung als Man-In-The-Middle (mittels Deep Inspection) mit rein?
Wir hatten ein solches Problem mal mit irgendeinem anderen Zertifikat, das von der inzwischen abgelösten Firewall mittels Deep Inspection geprüft worden war und wonach offenbar der Signatur-Hash geändert war.
Gruß
funkt hier evtl. irgendeine Gateway-/Firewall-Lösung als Man-In-The-Middle (mittels Deep Inspection) mit rein?
Wir hatten ein solches Problem mal mit irgendeinem anderen Zertifikat, das von der inzwischen abgelösten Firewall mittels Deep Inspection geprüft worden war und wonach offenbar der Signatur-Hash geändert war.
Gruß
Servus!
Ja, auf dem Kommunikationsweg werden die Mails noch von einem weiteren Gateway angepackt.
Dieses hatte ich zuerst verdächtigt, daher habe ich testweise einige Mails an besagtem Gateway vorbei geleitet - das Ergebnis im Outlook war das gleiche. Unsicher eingestuftes Zertifikat, welches beim Betrachten der Details automatisch automatisch "sicher" wird.
Ja, auf dem Kommunikationsweg werden die Mails noch von einem weiteren Gateway angepackt.
Dieses hatte ich zuerst verdächtigt, daher habe ich testweise einige Mails an besagtem Gateway vorbei geleitet - das Ergebnis im Outlook war das gleiche. Unsicher eingestuftes Zertifikat, welches beim Betrachten der Details automatisch automatisch "sicher" wird.
Moin,
und die ganzen URIs in dem Zertifikat, welches beim Empfänger angekommen ist, hast du auch schon geprüft?
Gruß
und die ganzen URIs in dem Zertifikat, welches beim Empfänger angekommen ist, hast du auch schon geprüft?
Gruß
Meinst du damit, ob die Werte des Zertifikats nach dem Versand noch identisch sind? Falls ja, ist das der Fall, habe ich geprüft. Falls du etwas anderes meinst, stehe ich etwas auf dem Schlauch.
Habe es gerade nochmal an einem anderen PC getestet, um ein paar Bilder zu machen.
So ist der Stand nach dem Erhalt einer signierten Mail:
Anschließend lasse ich mir das Zertifikat anzeigen:
Und wenn ich das Zertifikats-Vorschau-Fenster danach schließe, ändert sich hier der Status:
Ab diesem Moment werden alle signierten Mails von dem jeweiligen Absender als sicher eingestuft.
Habe es gerade nochmal an einem anderen PC getestet, um ein paar Bilder zu machen.
So ist der Stand nach dem Erhalt einer signierten Mail:
Anschließend lasse ich mir das Zertifikat anzeigen:
Und wenn ich das Zertifikats-Vorschau-Fenster danach schließe, ändert sich hier der Status:
Ab diesem Moment werden alle signierten Mails von dem jeweiligen Absender als sicher eingestuft.
Guten Abend,
Bitte poste bitte von der Zeile Signaturstatus und Zertifikatsstatus die genaue und vor allem vollständige Fehlermeldung.
Gruß,
Dani
Der unbekannte Hersteller ist übrigens NoSpamProxy - mit denen habe ich als erstes telefoniert.
ich kann dich beruhigen - es funktioniert bei uns. Wir nutzen allerdings bei uns SwissSign. Bitte poste bitte von der Zeile Signaturstatus und Zertifikatsstatus die genaue und vor allem vollständige Fehlermeldung.
Gruß,
Dani
Na dann bin ich ja beruhigt. Wenn ich jetzt nur noch wüsste, woher mein Problem kommt :D
Hier die Fehlertexte:
Signaturstatus:
Fehler: Beim Überprüfen des Zertifikats, das zum Erstellen dieser Signatur verwendet wurde, sind Probleme aufgetreten.
Zertifikatsstatus:
Fehler: Das für die Signatur verwendete Zertifikat kann vom System nicht überprüft werden, da das Zertifikat des Ausstellers entweder nicht verfügbar oder ungültig ist. Das System kann nicht ermitteln, ob das für die Signatur verwendete Zertifikat vertrauenswürdig ist.
Hier die Fehlertexte:
Signaturstatus:
Fehler: Beim Überprüfen des Zertifikats, das zum Erstellen dieser Signatur verwendet wurde, sind Probleme aufgetreten.
Zertifikatsstatus:
Fehler: Das für die Signatur verwendete Zertifikat kann vom System nicht überprüft werden, da das Zertifikat des Ausstellers entweder nicht verfügbar oder ungültig ist. Das System kann nicht ermitteln, ob das für die Signatur verwendete Zertifikat vertrauenswürdig ist.
Servus,
kommt ein Proxy auf den Clients zum Einsatz? Wenn ja kann das daran liegen das Windows die CRLs nicht zeitig abrufen , denn dieser Prozess findet über den winhttp Kontext statt welches eigene Proxy-Zugangseinstellungen hat und nicht den Windows-Einstellungen zum Proxy folgt =>
Grüße Uwe
kommt ein Proxy auf den Clients zum Einsatz? Wenn ja kann das daran liegen das Windows die CRLs nicht zeitig abrufen , denn dieser Prozess findet über den winhttp Kontext statt welches eigene Proxy-Zugangseinstellungen hat und nicht den Windows-Einstellungen zum Proxy folgt =>
netsh winhttp show proxy.Grüße Uwe
Hi colinardo,
teils teils. Ich habe es inzwischen auf unzähligen Clients getestet, davon auch viele mit direktem Webzugriff ohne Proxy. Überall das gleiche Problem/Phänomen.
teils teils. Ich habe es inzwischen auf unzähligen Clients getestet, davon auch viele mit direktem Webzugriff ohne Proxy. Überall das gleiche Problem/Phänomen.
Zitat von @Philzip:
Meinst du damit, ob die Werte des Zertifikats nach dem Versand noch identisch sind?
nö ich meine die Adressen für CRLMeinst du damit, ob die Werte des Zertifikats nach dem Versand noch identisch sind?
https://www.msxfaq.de/signcrypt/crl.htm
Gruß
sieht nicht nur richtig aus - funktioniert auch: http://crl.globalsign.com/gspersonalsign2sha2g3.crl
schade - das war meine letzte Idee
Edit: PS: Das Gelbe Ausrufezeichen hast du geprüft?
schade - das war meine letzte Idee
Edit: PS: Das Gelbe Ausrufezeichen hast du geprüft?
Jop.
OK. Dann wird das wohl nur darauf hinweisen, dass nicht alle Applikationen damit klar kommen
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Der Link funktioniert nicht, habe das aber auch mit anderen SSL-Zertis verglichen. Das gelbe Ausrufezeichen findet man dort öfter.
Guten Abend,
Schneide einmal solch einen Vorgang mit Wireshark mit und schaue dir das Ergebnis einmal an. Somit siehst du evtl. Timeouts oder sogar evtl. Fehler.
Gruß,
Dani
Na dann bin ich ja beruhigt. Wenn ich jetzt nur noch wüsste, woher mein Problem kommt :D
wir nutzen allerdings SwissSign und nicht GlobalSign. Schneide einmal solch einen Vorgang mit Wireshark mit und schaue dir das Ergebnis einmal an. Somit siehst du evtl. Timeouts oder sogar evtl. Fehler.
Gruß,
Dani
Schande über mein Haupt, Wireshark habe ich noch nie benutzt. Starte ich einfach die Aufzeichnung von Paketen und reproduziere dann das Problem?
Hallo,
https://www.scos.training/our-training-and-courses/
https://www.concise-courses.com/security/wireshark-basics/
https://www.lifewire.com/wireshark-tutorial-4143298
https://www.howtogeek.com/104278/how-to-use-wireshark-to-capture-filter- ...
Gruß,
Peter
Zitat von @Philzip:
Starte ich einfach die Aufzeichnung von Paketen und reproduziere dann das Problem?
Einfach gesagt Ja. Aber der Rechner wo dann Wireshark läuft sollte auch dann alle involvierte Pakete sehen können. Da auch ihr (und euer Kunde) keine Hubs nutzt sondern Switche wirst du wohl um Port Mirroring nicht umhin kommen (Zugriff auf die Switche) oder aber auf den Rechner läuft Wireshark wo das Problem ist. Darf dort überhaupt Software installiert werden (gibt auch eine Portable Version von Wireshark) usw.Starte ich einfach die Aufzeichnung von Paketen und reproduziere dann das Problem?
https://www.scos.training/our-training-and-courses/
https://www.concise-courses.com/security/wireshark-basics/
https://www.lifewire.com/wireshark-tutorial-4143298
https://www.howtogeek.com/104278/how-to-use-wireshark-to-capture-filter- ...
Gruß,
Peter
Das ist kein Problem... in diesem Szenario kann ich durchaus die Rolle des Kunden übernehmen, ich habe Zugriff auf alle Systeme. tl;dr, kann ich direkt an einem betroffenen Client testen.
Hallo Philzip
Hast du jemals eine Lösung gefunden?
Habe zurzeit genau dasselbe Problem mit Swissign Personal Zertifikaten.
Gruss,
Lukas
Hast du jemals eine Lösung gefunden?
Habe zurzeit genau dasselbe Problem mit Swissign Personal Zertifikaten.
Gruss,
Lukas
Hallo Philzip, hallo lso9g4,
habt hier das Problem lösen können? Wir haben das hier nämlich auch....
Grüße
habt hier das Problem lösen können? Wir haben das hier nämlich auch....
Grüße
Hallo Beebob007
Bei mir war das Problem, dass ich in Outlook den falschen Hashalgorithmus eingestellt hatte.
Hashalgorithmus und Verschlüsselungsalgorithmus müssen zwingend mit den Vorgaben des Ausstellers des Zertifikats übereinstimmen.
Seit da funktioniert es wie ich getestet habe problemlos.
Einzig beim Versand ab iPhone klappt es noch nicht.
Dort habe ich aber keine Möglichkeit den Algorithmus einzustellen (habe keine Einstellung dafür finden können).
Gruss lso9g4
Bei mir war das Problem, dass ich in Outlook den falschen Hashalgorithmus eingestellt hatte.
Hashalgorithmus und Verschlüsselungsalgorithmus müssen zwingend mit den Vorgaben des Ausstellers des Zertifikats übereinstimmen.
Seit da funktioniert es wie ich getestet habe problemlos.
Einzig beim Versand ab iPhone klappt es noch nicht.
Dort habe ich aber keine Möglichkeit den Algorithmus einzustellen (habe keine Einstellung dafür finden können).
Gruss lso9g4
Hi Iso9g4,
danke für die schnelle Antwort.
Ich werde es mal testen.
Danke und Gruß
danke für die schnelle Antwort.
Ich werde es mal testen.
Danke und Gruß
