S-MIME E-Mail Signatur wird als ungültig angezeigt - oder auch nicht!?
Guten Morgen zusammen,
folgendes Szenario: Ausgehende E-Mails eines Unternehmens werden mit persönlichen S/MIME Zertifikaten automatisch über eine Gateway-Lösung signiert.
Sobald eine gesendete Mail (signiert) beim Kunden ankommt, wird die Signatur im Outlook als ungültig/nicht vertrauenswürdig angezeigt. Sobald sich die Empfänger-Seite das Zertifikat dann im Outlook anzeigen lässt, springt es nach kurzer Zeit um und alles ist in Ordnung.
Dieser Vorgang der Zertifikatsüberprüfung funktioniert leider nicht automatisch - der Fehler wird so lange angezeigt, bis man sich die Details des Fehlers und das Zertifikat anzeigen lasse. Ohne etwas zu klicken oder zu bestätigen, ändert sich der Status nach kurzer Zeit automatisch auf "sicher", da an dieser Stelle das Zertifikat dann wohl (endlich) überprüft wurde.
Da ich ein Problem mit der Outlook-Installation und/oder dem Exchange-Server (auf Empfänger-Seite) ausschließen wollte, habe ich verschiedene Systeme getestet - überall das gleiche Spiel. Es scheint sich also um ein allgemeines Thema zu handeln, für dass ich momentan leider keine Lösung parat habe.
Irgendwie muss es sich doch einrichten lassen, dass Outlook das Zertifikat sowohl automatisch als auch zügig prüft.
Hat jemand in dieser Hinsicht Erfahrungen und kann mir einen Tipp geben?
Vielen Dank
LG Philzip
folgendes Szenario: Ausgehende E-Mails eines Unternehmens werden mit persönlichen S/MIME Zertifikaten automatisch über eine Gateway-Lösung signiert.
Sobald eine gesendete Mail (signiert) beim Kunden ankommt, wird die Signatur im Outlook als ungültig/nicht vertrauenswürdig angezeigt. Sobald sich die Empfänger-Seite das Zertifikat dann im Outlook anzeigen lässt, springt es nach kurzer Zeit um und alles ist in Ordnung.
Dieser Vorgang der Zertifikatsüberprüfung funktioniert leider nicht automatisch - der Fehler wird so lange angezeigt, bis man sich die Details des Fehlers und das Zertifikat anzeigen lasse. Ohne etwas zu klicken oder zu bestätigen, ändert sich der Status nach kurzer Zeit automatisch auf "sicher", da an dieser Stelle das Zertifikat dann wohl (endlich) überprüft wurde.
Da ich ein Problem mit der Outlook-Installation und/oder dem Exchange-Server (auf Empfänger-Seite) ausschließen wollte, habe ich verschiedene Systeme getestet - überall das gleiche Spiel. Es scheint sich also um ein allgemeines Thema zu handeln, für dass ich momentan leider keine Lösung parat habe.
Irgendwie muss es sich doch einrichten lassen, dass Outlook das Zertifikat sowohl automatisch als auch zügig prüft.
Hat jemand in dieser Hinsicht Erfahrungen und kann mir einen Tipp geben?
Vielen Dank
LG Philzip
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 384586
Url: https://administrator.de/contentid/384586
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
34 Kommentare
Neuester Kommentar
Zitat von @Philzip:
Sobald eine gesendete Mail (signiert) beim Kunden ankommt, wird die Signatur im Outlook als ungültig/nicht vertrauenswürdig angezeigt. Sobald ich mir das Zertifikat dann im Outlook anzeigen lasse, springt es nach kurzer Zeit um und alles ist in Ordnung.
Sobald eine gesendete Mail (signiert) beim Kunden ankommt, wird die Signatur im Outlook als ungültig/nicht vertrauenswürdig angezeigt. Sobald ich mir das Zertifikat dann im Outlook anzeigen lasse, springt es nach kurzer Zeit um und alles ist in Ordnung.
Moin,
nur zum Verständnis: Die Signatur wird beim Kunden als ungültig angezeigt und wenn Du Dir das Zertifikat anschaust wird, springt es auf grün beim Kunden? Oder wenn der Kunde sich die Details anschaut?
Vielleicht überarbeitest Du mal den Text, damit das klarer wird.
Für Fall Zwei tippe ich auf timeout/connection zu eurem Gateway.
Gruss
Hallo,
Gruß,
Peter
Zitat von @Philzip:
PS: Timeout zum Gateway ist ausgeschlossen, es handelt sich um öffentliche Zertifikate von GlobalSign.
Und das Zertifikat liegt beu euch auf euren Server, oder? Lass mal beim Kundne ein Wireshark mitlaufen der die Kommunikation mit euch überwacht bzw. auch den weg der Zertifikatsbestätigung. Irgendwo klemmt da etwas. Oder von euch aus aber von einer anderen Öffentlichen IP aus.PS: Timeout zum Gateway ist ausgeschlossen, es handelt sich um öffentliche Zertifikate von GlobalSign.
Gruß,
Peter
Hallo,
https://docs.microsoft.com/en-us/exchange/plan-and-deploy/post-installat ...
https://docs.microsoft.com/en-us/exchange/architecture/client-access/cer ...
https://community.spiceworks.com/topic/1252629-exchange-server-ssl-certi ...
http://techgenix.com/managing-exchange-certificates/
Gruß,
Peter
Zitat von @Philzip:
Ausgestellt wurden die Zertifikate ja auch nicht von uns, sondern von GlobalSign. Über unser Gateway wurden sie lediglich beantragt.
Das ihr die nicht ausgestellt habt ist klar, sonst hättest du wohl von selbstausgestellten Zeritifikaten gesprochen. Schau doch erstmal wo es hängt, denn das es hängt schreibst du ja. Es gibt also einen Timeout, nur wo bzw. warum. Hast du das wo kannst du weiter eingrenzen bzw. suchen. Vielleicht ist es auch nur der DNS beim Kunden der nicht so richtig will. Oder nutzen eine andere Öffentliche IP um so eine Mail mal abzurufen und gegenzuchecken. Nur denk dran, du bist wohl nicht für die IT beim Kunden zuständig. Ist das Verhalten bei all euren Kunden wo die EMails Signiert werden so, oder nur bei diesem? Schließe aus was nicht der Fehler ist, übrig bleibt der Fehler.Ausgestellt wurden die Zertifikate ja auch nicht von uns, sondern von GlobalSign. Über unser Gateway wurden sie lediglich beantragt.
https://docs.microsoft.com/en-us/exchange/plan-and-deploy/post-installat ...
https://docs.microsoft.com/en-us/exchange/architecture/client-access/cer ...
https://community.spiceworks.com/topic/1252629-exchange-server-ssl-certi ...
http://techgenix.com/managing-exchange-certificates/
Gruß,
Peter
Hallo,
Gruß,
Peter
Zitat von @Philzip:
Das Problem tritt bei allen Empfängern auf - unabhängig von Exchange-/ und Outlook-Version.
Wann fing das Problem an? Hat es vorher denn schon funktioniert?Das Problem tritt bei allen Empfängern auf - unabhängig von Exchange-/ und Outlook-Version.
Gruß,
Peter
Hallo,
Gruß,
Peter
Zitat von @Philzip:
Das Gateway für Mailverschlüsselung/-Signierung wurde gerade erst in Betrieb genommen
Und sicher das dabei kein Fehler gemacht wurde oder etwas vergesssen wurde? Habt ihr das selbst gemacht oder ein Dienstleister der es kann? Was sagt der uns unbekannte Hersteller dieser Lösung zu dein Problem?Das Gateway für Mailverschlüsselung/-Signierung wurde gerade erst in Betrieb genommen
Gruß,
Peter
Hallo,
Wende dich an diesen unbekannten Hersteller.
Gruß,
Peter
Zitat von @Philzip:
dass mit einem Kunden zwingend eine verschlüsselte E-Mail-Kommunikation benötigt wird. Diese läuft auch ordnungsgemäß.
Und wieso sagst du danndass mit einem Kunden zwingend eine verschlüsselte E-Mail-Kommunikation benötigt wird. Diese läuft auch ordnungsgemäß.
es hat also bislang noch nicht funktioniert.
Gruß,
Peter
Servus,
funkt hier evtl. irgendeine Gateway-/Firewall-Lösung als Man-In-The-Middle (mittels Deep Inspection) mit rein?
Wir hatten ein solches Problem mal mit irgendeinem anderen Zertifikat, das von der inzwischen abgelösten Firewall mittels Deep Inspection geprüft worden war und wonach offenbar der Signatur-Hash geändert war.
Gruß
funkt hier evtl. irgendeine Gateway-/Firewall-Lösung als Man-In-The-Middle (mittels Deep Inspection) mit rein?
Wir hatten ein solches Problem mal mit irgendeinem anderen Zertifikat, das von der inzwischen abgelösten Firewall mittels Deep Inspection geprüft worden war und wonach offenbar der Signatur-Hash geändert war.
Gruß
Guten Abend,
Bitte poste bitte von der Zeile Signaturstatus und Zertifikatsstatus die genaue und vor allem vollständige Fehlermeldung.
Gruß,
Dani
Der unbekannte Hersteller ist übrigens NoSpamProxy - mit denen habe ich als erstes telefoniert.
ich kann dich beruhigen - es funktioniert bei uns. Wir nutzen allerdings bei uns SwissSign. Bitte poste bitte von der Zeile Signaturstatus und Zertifikatsstatus die genaue und vor allem vollständige Fehlermeldung.
Gruß,
Dani
Servus,
kommt ein Proxy auf den Clients zum Einsatz? Wenn ja kann das daran liegen das Windows die CRLs nicht zeitig abrufen , denn dieser Prozess findet über den winhttp Kontext statt welches eigene Proxy-Zugangseinstellungen hat und nicht den Windows-Einstellungen zum Proxy folgt =>
Grüße Uwe
kommt ein Proxy auf den Clients zum Einsatz? Wenn ja kann das daran liegen das Windows die CRLs nicht zeitig abrufen , denn dieser Prozess findet über den winhttp Kontext statt welches eigene Proxy-Zugangseinstellungen hat und nicht den Windows-Einstellungen zum Proxy folgt =>
netsh winhttp show proxy
.Grüße Uwe
Zitat von @Philzip:
Meinst du damit, ob die Werte des Zertifikats nach dem Versand noch identisch sind?
nö ich meine die Adressen für CRLMeinst du damit, ob die Werte des Zertifikats nach dem Versand noch identisch sind?
https://www.msxfaq.de/signcrypt/crl.htm
Gruß
sieht nicht nur richtig aus - funktioniert auch: http://crl.globalsign.com/gspersonalsign2sha2g3.crl
schade - das war meine letzte Idee
Edit: PS: Das Gelbe Ausrufezeichen hast du geprüft?
schade - das war meine letzte Idee
Edit: PS: Das Gelbe Ausrufezeichen hast du geprüft?
OK. Dann wird das wohl nur darauf hinweisen, dass nicht alle Applikationen damit klar kommen
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Guten Abend,
Schneide einmal solch einen Vorgang mit Wireshark mit und schaue dir das Ergebnis einmal an. Somit siehst du evtl. Timeouts oder sogar evtl. Fehler.
Gruß,
Dani
Na dann bin ich ja beruhigt. Wenn ich jetzt nur noch wüsste, woher mein Problem kommt :D
wir nutzen allerdings SwissSign und nicht GlobalSign. Schneide einmal solch einen Vorgang mit Wireshark mit und schaue dir das Ergebnis einmal an. Somit siehst du evtl. Timeouts oder sogar evtl. Fehler.
Gruß,
Dani
Hallo,
https://www.scos.training/our-training-and-courses/
https://www.concise-courses.com/security/wireshark-basics/
https://www.lifewire.com/wireshark-tutorial-4143298
https://www.howtogeek.com/104278/how-to-use-wireshark-to-capture-filter- ...
Gruß,
Peter
Zitat von @Philzip:
Starte ich einfach die Aufzeichnung von Paketen und reproduziere dann das Problem?
Einfach gesagt Ja. Aber der Rechner wo dann Wireshark läuft sollte auch dann alle involvierte Pakete sehen können. Da auch ihr (und euer Kunde) keine Hubs nutzt sondern Switche wirst du wohl um Port Mirroring nicht umhin kommen (Zugriff auf die Switche) oder aber auf den Rechner läuft Wireshark wo das Problem ist. Darf dort überhaupt Software installiert werden (gibt auch eine Portable Version von Wireshark) usw.Starte ich einfach die Aufzeichnung von Paketen und reproduziere dann das Problem?
https://www.scos.training/our-training-and-courses/
https://www.concise-courses.com/security/wireshark-basics/
https://www.lifewire.com/wireshark-tutorial-4143298
https://www.howtogeek.com/104278/how-to-use-wireshark-to-capture-filter- ...
Gruß,
Peter
Hallo Beebob007
Bei mir war das Problem, dass ich in Outlook den falschen Hashalgorithmus eingestellt hatte.
Hashalgorithmus und Verschlüsselungsalgorithmus müssen zwingend mit den Vorgaben des Ausstellers des Zertifikats übereinstimmen.
Seit da funktioniert es wie ich getestet habe problemlos.
Einzig beim Versand ab iPhone klappt es noch nicht.
Dort habe ich aber keine Möglichkeit den Algorithmus einzustellen (habe keine Einstellung dafür finden können).
Gruss lso9g4
Bei mir war das Problem, dass ich in Outlook den falschen Hashalgorithmus eingestellt hatte.
Hashalgorithmus und Verschlüsselungsalgorithmus müssen zwingend mit den Vorgaben des Ausstellers des Zertifikats übereinstimmen.
Seit da funktioniert es wie ich getestet habe problemlos.
Einzig beim Versand ab iPhone klappt es noch nicht.
Dort habe ich aber keine Möglichkeit den Algorithmus einzustellen (habe keine Einstellung dafür finden können).
Gruss lso9g4