Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 6 subscribers
  • Views 9061 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM9 Email Encryption Automatisches Auslesen der S/MIME-Zertifikate funktioniert nicht?

Ingo2

Hallo allerseits,

vielleicht kann mir jemand von euch einen Hinweis geben, warum unter „Email Protection -> Email Encryption -> S/MIME-Zertifikate“ nicht automatisch die Zertifikate von den Absendern stehen, die uns eine Signierte Mail senden?

„Email Protection -> Email Encryption -> Optionen“ ist „Automatisches Auslesen der S/MIME-Zertifikate aktivieren“ angehakt.

Zur Info, „Email Protection -> SMTP -> SMTP-Proxy-Status“ ist aktiviert und hat ein routing auf unserem Exchange Server.

Wir bekommen Signierte Mails dessen Root CA’s in „Email Protection -> Email Encryption -> S/MIME-CAs“ unter Globale S/MIME-CAs gelistet sind und welche dessen Root CA ich unter Lokale S/MIME-CAs hinzugefügt habe. Alle CAs sind auch grün (also aktiviert).

Unter „Email Protection -> Email Encryption -> Interne Benutzer“ habe ich bisher nur meine E-Mailadresse mit meiner S/MIME und neu erstellter OpenPGP hinterlegt.

Vielleicht habt Ihr noch Vorschläge die Licht ins dunkle bringen.

Gruß Ingo



This thread was automatically locked due to age.
Parents
  • 0

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Hi, Ingo, and welcome to the UTM Community!

    This should work.  You have a PM.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob,

     

    kannst du deinen Vorschlag hier posten? Ich habe auch das Problem, dass Zertifikate nicht autom. ausgelesen werden. Danke!

     

    Gruß

    Martin

  • 0 in reply to martinis_01

    Hallo Martin,

    Alexander Busch solved this problem for himself and everyone last week - the certificate of a sender is only extracted automatically if the recipient is configured in Encryption as an 'Internal User'.  Does that fix your issue?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob,

    danke für die Info; allerdings ist das leider keine Lösung für mein Problem. Der User an den die Mails geschickt werden, ist bereits ein interner User. Andere S/Mime-Zertifikate werden übrigens automatisch ausgelesen; auch Zertifikate die von der gleichen CA signiert wurden...! Ich werde wohl dazu einen neuen Beitrag öffnen! ;)


    Gruß

    Martin

  • 0 in reply to martinis_01

    Hallo zusammen, bin neu hier!

    Kann mir bitte jemand helfen bei meiner Erstellung eines (selbstsignierten) Zertifikates (S/Mime)?

    Ich weis nicht, wo der Fehler bei meinem Code (nachstehend) sein könnte!

    openssl genrsa -des3 -out ca.key 4096
    openssl req -new -x509 -extensions v3_ca -days 365 -key ca.key -out ca.crt -subj="/C=AT/ST=vienna/L=vienna/O=Musterfirma/CN=CA/emailAddress=mustermann@mustermann.at/"
    openssl genrsa -des3 -out cert.key 4096
    openssl req -new -key cert.key -out cert.csr -subj="/C=AT/ST=vienna/L=vienna/O=Musterfirma/CN=CA/emailAddress=mustermann@mustermann.at"
    openssl x509 -req -days 365 -in cert.csr -CA ca.crt -CAkey ca.key -set_serial 00 -out cert.crt
    openssl pkcs12 -export -in cert.crt -inkey cert.key -out cert.p12

     

    Thunderbird: "Senden der Nachricht fehlgeschlagen.
    Kann Nachricht nicht signieren. Bitte überprüfen Sie, ob die Zertifikate, die für dieses Konto in den Konten-Einstellungen angegeben sind, für E-Mail gültig und vertrauenswürdig sind."

     

    P.s: "Musterfirma" als Firma und "Mustermann" als Name sind nur hier ein Beispiel. Es geht darum wo der Fehler im Code ist, weil Thunderbird das Zertifikat nicht will.

     

    Vielen Dank im voraus

Reply
  • 0 in reply to martinis_01

    Hallo zusammen, bin neu hier!

    Kann mir bitte jemand helfen bei meiner Erstellung eines (selbstsignierten) Zertifikates (S/Mime)?

    Ich weis nicht, wo der Fehler bei meinem Code (nachstehend) sein könnte!

    openssl genrsa -des3 -out ca.key 4096
    openssl req -new -x509 -extensions v3_ca -days 365 -key ca.key -out ca.crt -subj="/C=AT/ST=vienna/L=vienna/O=Musterfirma/CN=CA/emailAddress=mustermann@mustermann.at/"
    openssl genrsa -des3 -out cert.key 4096
    openssl req -new -key cert.key -out cert.csr -subj="/C=AT/ST=vienna/L=vienna/O=Musterfirma/CN=CA/emailAddress=mustermann@mustermann.at"
    openssl x509 -req -days 365 -in cert.csr -CA ca.crt -CAkey ca.key -set_serial 00 -out cert.crt
    openssl pkcs12 -export -in cert.crt -inkey cert.key -out cert.p12

     

    Thunderbird: "Senden der Nachricht fehlgeschlagen.
    Kann Nachricht nicht signieren. Bitte überprüfen Sie, ob die Zertifikate, die für dieses Konto in den Konten-Einstellungen angegeben sind, für E-Mail gültig und vertrauenswürdig sind."

     

    P.s: "Musterfirma" als Firma und "Mustermann" als Name sind nur hier ein Beispiel. Es geht darum wo der Fehler im Code ist, weil Thunderbird das Zertifikat nicht will.

     

    Vielen Dank im voraus

Children
  • 0 in reply to tom huber

    Hi,

    der Code schaut gut aus, ich vermisse aber bei der SMIME Cert Generierung den Hinweis wofür das Cert zu verwenden ist, z.b keyUsage, basicConstraints.

    Bei der CA Erstellung hast du die ja mit  -extension v3_ca angegeben, dass der v3_ca Abschnitt der openssl.cnf verwendet werden soll.

    Bei dem User-Cert vermiss ich die, das haengt aber auch von deiner openssl.cnf ab.

    Achtung, bitte nicht die UTM openssl.conf veraendern !

    Bei der UTM werden automatisch korrekte Certs fuer die Internal Encryption Users in der GUI erstellt, keine Notwendigkeit fuer Magie auf der bash :)

  • 0 in reply to PeterRenchen

    Hallo PeterRenchen! 

    Vielen Dank für die Nachricht.

    Ich möchte ein S/Mime-Zertifikat zur Verwendung
    für E-Mail-Signierung und Verschlüsselung in Thunderbird.

    (Im Gegensatz zu früher, möchte ich mir kein Zertifikat mehr von einer Zertifikats-Behörde/Aussteller ausstellen lassen, - sondern selber eines erzeugen, signieren).

    "-extension v3_ca" habe ich angegeben, weil ich dachte ich brauche es für Thunderbird oder es würde nicht schaden. Sorry, leider kenne ich mich nicht gut aus!
    (Aha offenbar brauche ich die "extension" gar nicht - und wenn muss ich sie beide male bei der CA und im User-Zertifikat angeben?)

    Ich habe den Code aus dem Internet, wo es eine kurze Anleitung für die Schritte gab. Ich habe mehr oder weniger nur die "-subj"-Parameter hinzugefügt, damit es beim Probieren des Zertifikates schneller geht, weil ich ja sehr viele Versuche/Tests hinter mir habe, aber irgendwas mache ich falsch, weil Thunderbird das Zertifikat "nicht annimmt". Ich ärgere mich schon seit Tagen mit dem Code herum und "hänge leider". Verzwickte Sache.


    Bin mir nicht sicher welche Zeilen und Codes ich brauche und was vielleicht unnötig ist und nicht unbedingt gebraucht wird.

    Kannst Du mir bitte den Code modifizieren, - oder mitteilen was ich genau ändern muss, dass das Zertifikat funktioniert?

    Ich will lediglich meine Mails mittels S/Mime signieren und verschlüsseln in Thunderbird (ohne fremden Zertifikatsaussteller. Quasi do-it-yourself)

    Danke!

  • 0 in reply to PeterRenchen

    Bitte, passt das nun so?

    habe "-extensions v3_ca" nun 2x im code.

     

    openssl genrsa -des3 -out ca.key 4096
    openssl req -new -x509 -extensions v3_ca -days 365 -key ca.key -out ca.crt -subj="/C=AT/ST=vienna/L=vienna/O=Huber/CN=CA/emailAddress=tom.huber@gmx.at
    openssl genrsa -des3 -out cert.key 4096
    openssl req -new -key cert.key -out cert.csr -subj="/C=AT/ST=vienna/L=vienna/O=Huber/CN=CA/emailAddress=tom.huber@gmx.at
    openssl -req -x509 -extensions v3_ca -days 365 -in cert.csr -CA ca.crt -CAkey ca.key -set_serial 00 -out cert.crt
    openssl pkcs12 -export -in cert.crt -inkey cert.key -out cert.p12

     

    DANKE!

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML