Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Zertifikat von EBCA-Keyserver wird nicht abgerufen?
#1
Sad 
Hallo.

Ich habe den Keyserver der EBCA wie hier erklärt im NSP hinzugefügt.

Über https://dir.ebca.de/ kann ich das gewünschte Zertifikat abrufen. Schicke ich eine Mail an diese Mailadresse, wird die Mail weiterhin unverschlüsselt verschickt ("kein Verschlüsselungsschlüssel gefunden").

Im "Partner" unter "Benutzer" ist bei der Mailadresse ein Zertifikat eingetragen, das aber nur zum Signieren eingesetzt werden kann (mein Thread von gestern).

Ich habe nun keine Ahnung, warum durch den EBCA-Keyserver nicht das passende Verschlüsselungszertifikat abgerufen wird.

Konfig Keyserver EBCA:
  • Servername: dir.ebca.de
  • Port 389
  • Authentifizierung anonym
  • LDAP-Suche: o=ebca
  • LDAP-Filter (mail=%e)
  • LDAP-Felder - x.509 abrufen: userCertificate;binary
  • Domänen: für alle nutzen
Fragen:
  1. kann ich im NSP irgendwie die eingetragenen Keyserver testen? evtl. habe ich ja doch was falsch konfiguriert (fände es super, wenn unter "Öffentliche Schlüsselserver" ein Eingabefeld zum Testen vorhanden wäre)
  2. EBCA hat auf dieser Seite unten bei "Für Gatewayanbieter" den Hinweis, dass Einbindung der Filterliste Voraussetzung für Nutzung ist, "da ansonsten Sicherheitsmechanismen greifen und Nutzer sperren könnten". Die Filterliste ist aber laaang. (Anmerkung: auf der Filterliste ist netatwork.de und nospamproxy.de enthalten - somit wäre doch auch eine "feste" Integration im NSP möglich, oder?)
Danke vorab für hoffentlich zeitnahe Antworten. (Und sorry für die andauernden Fragen)
Gruß,
Martin
Zitieren
#2
Hallo Martin,

da Open Keys den EBCA Server ohnehin abfragt (natürlich mit den entsprechenden Filtern), reicht es aus, in NoSpamProxy Open Keys zu aktivieren. Auf den Inhalt der Schlüssel haben allerdings weder Net at Work noch TeleTrust als Betreiber der EBCA Einfluss. Hier sind die Zertifikatsaussteller gefragt, die korrekten Schlüssel zu liefern. Die EBCA macht letztlich auch nichts anderes, als die LDAP Server der angeschlossenen Organisationen abzufragen.

Gruß Stefan
Zitieren
#3
Leider wird mir nur über die EBCA-Seite für die Mailadresse ein Ergebnis geliefert. Bei OpenKeys findet er für die Mailadresse nichts.

PS: vielleicht kann ich da am Nachmittag mal mit dem Support direkt sprechen? Bin telefonisch bisher nicht durchgekommen
Gruß,
Martin
Zitieren
#4
Zusatz zu "Signaturschlüssel" wird trotz EBCA-Keyserver im NSP nicht gefunden:
  1. die Mailadresse, an die gesendet wird, ist im NSP inkl. einem Zertifikat (nur für Signatur nutzbar) vorhanden --> evtl. deswegen keine Abfrage an Keyserver?
  2. evtl. scheitert die Abfrage an Keyserver EBCA? -> vielleicht, weil falsch konfiguriert? EBCA erwähnt ja was von möglichem Sperren von Abfragen
Ich sehe aktuell überhaupt keine Möglichkeit, hier die Ursache im NSP näher einzugrenzen  Sad (Daher wäre es schön, wenn bei den Keyservern eine Möglichkeit zur Testabfrage vorhanden wäre)

Theoretisch könnte ich die Verschlüsselungszertifikate, die ich in der Websuche bei EBCA finde, im NSP hinzufügen. Will hier aber doch lieber die Automatik nutzen.

Huh So viele ungeklärte Fragen Huh
Gruß,
Martin
Zitieren
#5
Hat heute dann funktioniert.

Aber so 100% nachvollziehabr finde ich das aus Admin-Sicht irgendwie nicht. Ist ein wenig "Fischen im Trüben". Zumindest bin ich nun früh, dass es jetzt bei diesen Mails funktioniert.

Offene Fragen habe ich aber noch genug
Gruß,
Martin
Zitieren
#6
(24.01.2020, 12:06)mabu schrieb: Leider wird mir nur über die EBCA-Seite für die Mailadresse ein Ergebnis geliefert. Bei OpenKeys findet er für die Mailadresse nichts.

Bei uns konnte ich gerade dasselbe Phänomen feststellen, es handelt sich hier um die Domain db.com. Bei einer Stichprobe von mehreren E-Mail-Adressen konnte ich dafür über OpenKeys.de kein Zertifikat finden (auch die Abfrage über die REST-API bringt kein Ergebnis). Die Suche über https://dir.ebca.de/ war allerdings erfolgreich.

Laut der Filterliste gehört auch db.com zu den abgefragten Domains. Nach meinem Verständnis sollten diese Adressen also auch bei OpenKeys.de auftauchen, korrekt?
Bei dem aktuellen Verhalten wäre zu überlegen, ob wir dir.ebca.de nicht auch einfach zu den öffentlichen Schlüsselservern im NSP hinzufügen sollen.

-Patrick
Zitieren
#7
Guten Morgen Patrick,

ich gebe das Thema an die Entwicklung weiter. Mir ist leider momentan selbst schleierhaft warum die Abfrage nicht funktioniert.


LG
Jan
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste