philzip
Goto Top

S-MIME E-Mail Signatur wird als ungültig angezeigt - oder auch nicht!?

Guten Morgen zusammen,

folgendes Szenario: Ausgehende E-Mails eines Unternehmens werden mit persönlichen S/MIME Zertifikaten automatisch über eine Gateway-Lösung signiert.

Sobald eine gesendete Mail (signiert) beim Kunden ankommt, wird die Signatur im Outlook als ungültig/nicht vertrauenswürdig angezeigt. Sobald sich die Empfänger-Seite das Zertifikat dann im Outlook anzeigen lässt, springt es nach kurzer Zeit um und alles ist in Ordnung.

Dieser Vorgang der Zertifikatsüberprüfung funktioniert leider nicht automatisch - der Fehler wird so lange angezeigt, bis man sich die Details des Fehlers und das Zertifikat anzeigen lasse. Ohne etwas zu klicken oder zu bestätigen, ändert sich der Status nach kurzer Zeit automatisch auf "sicher", da an dieser Stelle das Zertifikat dann wohl (endlich) überprüft wurde.

Da ich ein Problem mit der Outlook-Installation und/oder dem Exchange-Server (auf Empfänger-Seite) ausschließen wollte, habe ich verschiedene Systeme getestet - überall das gleiche Spiel. Es scheint sich also um ein allgemeines Thema zu handeln, für dass ich momentan leider keine Lösung parat habe.

Irgendwie muss es sich doch einrichten lassen, dass Outlook das Zertifikat sowohl automatisch als auch zügig prüft.

Hat jemand in dieser Hinsicht Erfahrungen und kann mir einen Tipp geben?

Vielen Dank

LG Philzip

Content-ID: 384586

Url: https://administrator.de/contentid/384586

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

sabines
sabines 27.08.2018 um 10:43:54 Uhr
Goto Top
Zitat von @Philzip:

Sobald eine gesendete Mail (signiert) beim Kunden ankommt, wird die Signatur im Outlook als ungültig/nicht vertrauenswürdig angezeigt. Sobald ich mir das Zertifikat dann im Outlook anzeigen lasse, springt es nach kurzer Zeit um und alles ist in Ordnung.


Moin,

nur zum Verständnis: Die Signatur wird beim Kunden als ungültig angezeigt und wenn Du Dir das Zertifikat anschaust wird, springt es auf grün beim Kunden? Oder wenn der Kunde sich die Details anschaut?

Vielleicht überarbeitest Du mal den Text, damit das klarer wird.
Für Fall Zwei tippe ich auf timeout/connection zu eurem Gateway.

Gruss
Philzip
Philzip 27.08.2018 aktualisiert um 10:49:53 Uhr
Goto Top
Hatte befürchtet dass mein Text zur Verwirrung führt :P

In dem zitierten Satz war ich der Kunde - daher ist das "ich" auch gerne durch "Kunde" auszutauschen face-smile Es springt auf grün um, sobald der Kunde sich die Details des Zertifikats anzeigen lässt.

PS: Timeout zum Gateway ist ausgeschlossen, es handelt sich um öffentliche Zertifikate von GlobalSign.
Pjordorf
Pjordorf 27.08.2018 aktualisiert um 10:53:36 Uhr
Goto Top
Hallo,

Zitat von @Philzip:
PS: Timeout zum Gateway ist ausgeschlossen, es handelt sich um öffentliche Zertifikate von GlobalSign.
Und das Zertifikat liegt beu euch auf euren Server, oder? Lass mal beim Kundne ein Wireshark mitlaufen der die Kommunikation mit euch überwacht bzw. auch den weg der Zertifikatsbestätigung. Irgendwo klemmt da etwas. Oder von euch aus aber von einer anderen Öffentlichen IP aus.

Gruß,
Peter
Philzip
Philzip 27.08.2018 aktualisiert um 11:12:10 Uhr
Goto Top
Ist es denn so, dass die Zertifikate mit unserem System gegengeprüft werden? Bei unseren ist ja GlobalSign die CA, intern gibt es keine.

Ausgestellt wurden die Zertifikate ja auch nicht von uns, sondern von GlobalSign. Über unser Gateway wurden sie lediglich beantragt.
Pjordorf
Pjordorf 27.08.2018 aktualisiert um 12:18:36 Uhr
Goto Top
Hallo,

Zitat von @Philzip:
Ausgestellt wurden die Zertifikate ja auch nicht von uns, sondern von GlobalSign. Über unser Gateway wurden sie lediglich beantragt.
Das ihr die nicht ausgestellt habt ist klar, sonst hättest du wohl von selbstausgestellten Zeritifikaten gesprochen. Schau doch erstmal wo es hängt, denn das es hängt schreibst du ja. Es gibt also einen Timeout, nur wo bzw. warum. Hast du das wo kannst du weiter eingrenzen bzw. suchen. Vielleicht ist es auch nur der DNS beim Kunden der nicht so richtig will. Oder nutzen eine andere Öffentliche IP um so eine Mail mal abzurufen und gegenzuchecken. Nur denk dran, du bist wohl nicht für die IT beim Kunden zuständig. Ist das Verhalten bei all euren Kunden wo die EMails Signiert werden so, oder nur bei diesem? Schließe aus was nicht der Fehler ist, übrig bleibt der Fehler.
https://docs.microsoft.com/en-us/exchange/plan-and-deploy/post-installat ...
https://docs.microsoft.com/en-us/exchange/architecture/client-access/cer ...
https://community.spiceworks.com/topic/1252629-exchange-server-ssl-certi ...
http://techgenix.com/managing-exchange-certificates/

Gruß,
Peter
Philzip
Philzip 27.08.2018 aktualisiert um 13:34:35 Uhr
Goto Top
Das Problem tritt bei allen Empfängern auf - unabhängig von Exchange-/ und Outlook-Version.

Neben Exchange und/oder Outlook als Verursachern wäre für mich der einzig plausibel erscheinende Grund Verbindungsprobleme zur GlobalSign CA - was ja hoffentlich auszuschließen ist. Vor allem deshalb, weil das Problem nicht nur ab und zu sondern immer und überall auftritt.

Um auszuschließen dass es an Outlook liegt wollte ich mal eine signierte Mail über das OWA (des Kunden) öffnen. Leider konnte ich das Thema dort aufgrund fehlender S/MIME Unterstützung nicht reproduzieren. IE, Edge und Chrome habe ich getestet.
edge
Pjordorf
Pjordorf 27.08.2018 um 13:36:30 Uhr
Goto Top
Hallo,

Zitat von @Philzip:
Das Problem tritt bei allen Empfängern auf - unabhängig von Exchange-/ und Outlook-Version.
Wann fing das Problem an? Hat es vorher denn schon funktioniert?

Gruß,
Peter
Philzip
Philzip 27.08.2018 um 13:39:40 Uhr
Goto Top
Das Gateway für Mailverschlüsselung/-Signierung wurde gerade erst in Betrieb genommen - es hat also bislang noch nicht funktioniert.
Pjordorf
Pjordorf 27.08.2018 aktualisiert um 14:12:47 Uhr
Goto Top
Hallo,

Zitat von @Philzip:
Das Gateway für Mailverschlüsselung/-Signierung wurde gerade erst in Betrieb genommen
Und sicher das dabei kein Fehler gemacht wurde oder etwas vergesssen wurde? Habt ihr das selbst gemacht oder ein Dienstleister der es kann? Was sagt der uns unbekannte Hersteller dieser Lösung zu dein Problem?

Gruß,
Peter
Philzip
Philzip 27.08.2018 um 13:49:29 Uhr
Goto Top
Ja, da bin ich sicher. Habe ich selbst gemacht mit Unterstützung des Herstellers, da ich von dieser Sorte bislang kein System eingerichtet hatte. Der einzige Unterschied zu anderen Gateways (Spam-Filter etc., kein S/MIME) ist das Zertifikatsthema - und hier geht der Konfigurationsaufwand gegen Null. Die Zertifikate werden über eine Managed PKI verwaltet und die Regeln für den Mailversand sind ebenfalls sehr simpel.

Die Signierung aller E-Mails ist auch quasi nur ein "Bonus" - der ursprüngliche Verwendungszweck war der, dass mit einem Kunden zwingend eine verschlüsselte E-Mail-Kommunikation benötigt wird. Diese läuft auch ordnungsgemäß.
Pjordorf
Pjordorf 27.08.2018 um 14:15:10 Uhr
Goto Top
Hallo,

Zitat von @Philzip:
dass mit einem Kunden zwingend eine verschlüsselte E-Mail-Kommunikation benötigt wird. Diese läuft auch ordnungsgemäß.
Und wieso sagst du dann
es hat also bislang noch nicht funktioniert.
Wende dich an diesen unbekannten Hersteller.

Gruß,
Peter
Philzip
Philzip 27.08.2018 um 14:30:35 Uhr
Goto Top
Das sind zwei paar Schuhe. Die E-Mail-Verschlüsselung findet zwischen den Gateways statt, damit hat Outlook nichts zu tun.

Der unbekannte Hersteller ist übrigens NoSpamProxy - mit denen habe ich als erstes telefoniert. Wenn das mit der Einstufung eines Zertifikates ein dauerhafte Problem ist, gibt es verschiedene Ansätze (z.B. wenn der Signatur-Hash warum auch immer auf dem Weg verändert wurde) - da es sich aber beim Betrachten der Details von alleine löst, deutet alles darauf hin, dass das Problem bei Windows/Outlook zu suchen ist.
VGem-e
VGem-e 27.08.2018 aktualisiert um 15:33:16 Uhr
Goto Top
Servus,

funkt hier evtl. irgendeine Gateway-/Firewall-Lösung als Man-In-The-Middle (mittels Deep Inspection) mit rein?
Wir hatten ein solches Problem mal mit irgendeinem anderen Zertifikat, das von der inzwischen abgelösten Firewall mittels Deep Inspection geprüft worden war und wonach offenbar der Signatur-Hash geändert war.

Gruß
Philzip
Philzip 27.08.2018 um 15:00:31 Uhr
Goto Top
Servus!

Ja, auf dem Kommunikationsweg werden die Mails noch von einem weiteren Gateway angepackt.

Dieses hatte ich zuerst verdächtigt, daher habe ich testweise einige Mails an besagtem Gateway vorbei geleitet - das Ergebnis im Outlook war das gleiche. Unsicher eingestuftes Zertifikat, welches beim Betrachten der Details automatisch automatisch "sicher" wird.
Kraemer
Kraemer 27.08.2018 um 17:00:23 Uhr
Goto Top
Moin,

und die ganzen URIs in dem Zertifikat, welches beim Empfänger angekommen ist, hast du auch schon geprüft?

Gruß
Philzip
Philzip 27.08.2018 aktualisiert um 18:00:13 Uhr
Goto Top
Meinst du damit, ob die Werte des Zertifikats nach dem Versand noch identisch sind? Falls ja, ist das der Fall, habe ich geprüft. Falls du etwas anderes meinst, stehe ich etwas auf dem Schlauch.

Habe es gerade nochmal an einem anderen PC getestet, um ein paar Bilder zu machen.

So ist der Stand nach dem Erhalt einer signierten Mail:

mail
signatur_fehler

Anschließend lasse ich mir das Zertifikat anzeigen:

zert

Und wenn ich das Zertifikats-Vorschau-Fenster danach schließe, ändert sich hier der Status:

signatur_ok

Ab diesem Moment werden alle signierten Mails von dem jeweiligen Absender als sicher eingestuft.
Dani
Dani 27.08.2018 um 19:08:42 Uhr
Goto Top
Guten Abend,
Der unbekannte Hersteller ist übrigens NoSpamProxy - mit denen habe ich als erstes telefoniert.
ich kann dich beruhigen - es funktioniert bei uns. Wir nutzen allerdings bei uns SwissSign. face-wink

Bitte poste bitte von der Zeile Signaturstatus und Zertifikatsstatus die genaue und vor allem vollständige Fehlermeldung.


Gruß,
Dani
Philzip
Philzip 28.08.2018 um 14:55:04 Uhr
Goto Top
Na dann bin ich ja beruhigt. Wenn ich jetzt nur noch wüsste, woher mein Problem kommt :D

Hier die Fehlertexte:

Signaturstatus:

Fehler: Beim Überprüfen des Zertifikats, das zum Erstellen dieser Signatur verwendet wurde, sind Probleme aufgetreten.

Zertifikatsstatus:

Fehler: Das für die Signatur verwendete Zertifikat kann vom System nicht überprüft werden, da das Zertifikat des Ausstellers entweder nicht verfügbar oder ungültig ist. Das System kann nicht ermitteln, ob das für die Signatur verwendete Zertifikat vertrauenswürdig ist.
colinardo
colinardo 28.08.2018 aktualisiert um 15:46:41 Uhr
Goto Top
Servus,
kommt ein Proxy auf den Clients zum Einsatz? Wenn ja kann das daran liegen das Windows die CRLs nicht zeitig abrufen , denn dieser Prozess findet über den winhttp Kontext statt welches eigene Proxy-Zugangseinstellungen hat und nicht den Windows-Einstellungen zum Proxy folgt => netsh winhttp show proxy.

Grüße Uwe
Philzip
Philzip 28.08.2018 um 16:09:50 Uhr
Goto Top
Hi colinardo,

teils teils. Ich habe es inzwischen auf unzähligen Clients getestet, davon auch viele mit direktem Webzugriff ohne Proxy. Überall das gleiche Problem/Phänomen.
Kraemer
Kraemer 28.08.2018 um 16:38:59 Uhr
Goto Top
Zitat von @Philzip:

Meinst du damit, ob die Werte des Zertifikats nach dem Versand noch identisch sind?
nö ich meine die Adressen für CRL
https://www.msxfaq.de/signcrypt/crl.htm

Gruß
Philzip
Philzip 29.08.2018 aktualisiert um 08:14:31 Uhr
Goto Top
@Kraemer

Sieht für meine Begriffe richtig okay aus.

crl
Kraemer
Kraemer 29.08.2018 aktualisiert um 08:20:58 Uhr
Goto Top
sieht nicht nur richtig aus - funktioniert auch: http://crl.globalsign.com/gspersonalsign2sha2g3.crl
schade - das war meine letzte Idee

Edit: PS: Das Gelbe Ausrufezeichen hast du geprüft?
Philzip
Philzip 29.08.2018 um 08:25:14 Uhr
Goto Top
Jop.

unbenannt
Kraemer
Kraemer 29.08.2018 um 08:31:55 Uhr
Goto Top
Zitat von @Philzip:

Jop.
OK. Dann wird das wohl nur darauf hinweisen, dass nicht alle Applikationen damit klar kommen
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Philzip
Philzip 29.08.2018 um 08:42:54 Uhr
Goto Top
Der Link funktioniert nicht, habe das aber auch mit anderen SSL-Zertis verglichen. Das gelbe Ausrufezeichen findet man dort öfter.
Dani
Dani 29.08.2018 um 20:36:22 Uhr
Goto Top
Guten Abend,
Na dann bin ich ja beruhigt. Wenn ich jetzt nur noch wüsste, woher mein Problem kommt :D
wir nutzen allerdings SwissSign und nicht GlobalSign. face-smile

Schneide einmal solch einen Vorgang mit Wireshark mit und schaue dir das Ergebnis einmal an. Somit siehst du evtl. Timeouts oder sogar evtl. Fehler.


Gruß,
Dani
Philzip
Philzip 30.08.2018 um 09:55:03 Uhr
Goto Top
Schande über mein Haupt, Wireshark habe ich noch nie benutzt. Starte ich einfach die Aufzeichnung von Paketen und reproduziere dann das Problem?
Pjordorf
Pjordorf 30.08.2018 aktualisiert um 10:50:38 Uhr
Goto Top
Hallo,

Zitat von @Philzip:
Starte ich einfach die Aufzeichnung von Paketen und reproduziere dann das Problem?
Einfach gesagt Ja. Aber der Rechner wo dann Wireshark läuft sollte auch dann alle involvierte Pakete sehen können. Da auch ihr (und euer Kunde) keine Hubs nutzt sondern Switche wirst du wohl um Port Mirroring nicht umhin kommen (Zugriff auf die Switche) oder aber auf den Rechner läuft Wireshark wo das Problem ist. Darf dort überhaupt Software installiert werden (gibt auch eine Portable Version von Wireshark) usw.
https://www.scos.training/our-training-and-courses/
https://www.concise-courses.com/security/wireshark-basics/
https://www.lifewire.com/wireshark-tutorial-4143298
https://www.howtogeek.com/104278/how-to-use-wireshark-to-capture-filter- ...

Gruß,
Peter
Philzip
Philzip 30.08.2018 um 11:17:32 Uhr
Goto Top
Das ist kein Problem... in diesem Szenario kann ich durchaus die Rolle des Kunden übernehmen, ich habe Zugriff auf alle Systeme. tl;dr, kann ich direkt an einem betroffenen Client testen.
lso9g4
lso9g4 06.03.2020 um 09:35:14 Uhr
Goto Top
Hallo Philzip

Hast du jemals eine Lösung gefunden?
Habe zurzeit genau dasselbe Problem mit Swissign Personal Zertifikaten.

Gruss,
Lukas
Beebob007
Beebob007 26.06.2020 um 10:55:08 Uhr
Goto Top
Hallo Philzip, hallo lso9g4,

habt hier das Problem lösen können? Wir haben das hier nämlich auch.... face-sad

Grüße
lso9g4
lso9g4 26.06.2020 um 11:09:05 Uhr
Goto Top
Hallo Beebob007

Bei mir war das Problem, dass ich in Outlook den falschen Hashalgorithmus eingestellt hatte.
Hashalgorithmus und Verschlüsselungsalgorithmus müssen zwingend mit den Vorgaben des Ausstellers des Zertifikats übereinstimmen.
Seit da funktioniert es wie ich getestet habe problemlos.

Einzig beim Versand ab iPhone klappt es noch nicht.
Dort habe ich aber keine Möglichkeit den Algorithmus einzustellen (habe keine Einstellung dafür finden können).

Gruss lso9g4
unbenannt
Beebob007
Beebob007 26.06.2020 um 11:14:27 Uhr
Goto Top
Hi Iso9g4,

danke für die schnelle Antwort.

Ich werde es mal testen.

Danke und Gruß