Domino 9 und frühere Versionen > ND8: Administration & Userprobleme
Der Verschlüsselungsschlüssel wurde nicht gefunden (smime)
m3:
--- Zitat ---Aus den zu signierenden Daten und dem privaten Signaturschlüssel wird durch eine eindeutige Rechenvorschrift die Signatur berechnet. Verschiedene Daten müssen mit an Sicherheit grenzender Wahrscheinlichkeit zu einer anderen Signatur führen, und die Signatur muss für jeden Schlüssel einen anderen Wert ergeben. ...
Soweit der öffentliche Schlüssel mittels eines digitalen Zertifikats einer Person zugeordnet wurde, kann auf Grund dessen, dass es nur einen zum öffentlichen Schlüssel korrespondierenden privaten Schlüssel gibt, über das öffentliche Verzeichnis des Zertifizierungsdiensteanbieters (ZDA) die Identität des Signaturerstellers ermittelt bzw. überprüft werden.
--- Ende Zitat ---
http://de.wikipedia.org/wiki/Digitale_Signatur
Ohne Zertifikat/Schluessel keine Signatur. Wurscht ob das/der nun als Notes-ID File, als X509 Zertifikat im ID-File oder als Smartcard vorliegt.
Heiggo, ich glaube, ich habe Dein Problem schon verstanden, wir sprechen nur noch aneinander vorbei :)
IMHO liegt das Problem in Deinem Fall an der Notes->Mime Konvertierung und nicht primaer an den Zertifikaten.
Wenn in der Mail das Hackerl "Mail signieren" aktiviert ist, will Notes die Mail digital signieren. Welcher Schluessel nun dafuer zum Einsatz kommt, haengt vom Format der Mail ab:
Wenn Notes-Mails digital signiert werden, nimmt Notes den im ID-File vorhandenen Schluessel fuer die Signatur.
Wenn eine MIME-Mail signiert wird, nimmt Notes per default den im ID-File vorhandenen X.509 Zertifikat/Schluessel.
Wenn er bei einer MIME-Mail keinen X509 Schluessel zur Signierung findet (so wie bei Euch), kommt die Fehlermeldung:
Du hast ja geschrieben, dass wenn Du in der AU im TAB Mail im Feld 'Format für Nachrichten an Internetnachrichten' von 'MIME-Format' auf 'Notes-Rich-Text-Format' umstellst "funktioniert" alles. Damit hast Du ja schon bewiesen, dass es an dem Format der Mail liegt.
Es deutet daher alles darauf hin, dass in der "Server AU" die Mails im Notes-Format versendet werden, und in der "Client AU" im MIME-Format.
Es stellen sich mir daher die folgenden Fragen:
1) Ist in der Server AU das 'Format für Nachrichten an Internetnachrichten' auch auf 'MIME-Format' gesetzt bzw. worin unterscheiden sich die beiden AUs im Tab "Mail"?
2) Braucht das von Euch eingesetzte Tool das Hackerl "Mail signieren" in der Mail um aktiviert zu werden? Wenn nein, dann wuerde ich das entfernen und alles ist gut.
Heiggo:
Upps, sorry, war so tief drin heute, das ich gar keine Zeit hatte groß zu luschern. Wie es funktioniert weiß ich, aber das sind nur WorkArounds. Bringe das mal allen Nutzern be. Wir reden hier von einer Hausnummer > 140.000 ???
Bastel dir einen Testnutzer ohne importiertes Internetzertifikat (was bei uns eh nicht geht, wie ich schon beschrieb), sende eine Mail (mit einer lokalen AU und den Einstellungen wie bei uns) an deine private Adresse und setze den Haken, das Notes signieren soll. Ich fresse einen Schokobesen, wenn Notes nicht meckert mit der in Anlage-03 bebilderten Meldung. Aber... die Mail wird klaglos übertragen und kommt bei dir an ;)
Stellen wir in den AU's auf Notes-Rich-Text-Format um, was technisch kein Thema wäre, da wir den Marvel-Client verwenden, befürchten wir extreme Performanceprobleme auf den Sörwern :o
Zu 1:
Nach den Servereinstellungen muss ich mal schauen, geht natürlich nun nicht. Dürfte sich aber eher im Bereich der Konfigurationen bewegen und nicht im Serverdokument. Da bin ich mir aber gerade nicht sicher.
Im TAB Mail unterscheidet sich lediglich der Speicherort der Mail-Datei!
Zu 2:
Nein, grundsätzlich nicht, aber wie sag ich es dem Kinde, äääh den 140.000 Kindern :o
Alles nicht so einfach. Das Ziel läuft vermutlich darauf hinaus, das wir in den Standardvorgaben des Notes-Clients erzwingen, das die Häkchen Verschlüsseln und Signieren von Mails futsch sind und wir dafür sorgen, das dieser PlugIn-Dialog (Anlage-01) bei der Auswahl, das Notes übernehmen soll die weiteren Felder ausgraut. Allerdings wird man dann auch im Mailtemplate weiter rumschrauben müssen, damit dort die Häkchen nicht wieder gesetzt werden können.
Brrrr.... mich gruselt es, das wird mal wieder schön teuer. Na ja, IT-Sicherheit muss weh tun, hat mir mal einer vor vielen Jahren gesagt. Wäre ich bloß Bäcker geworden ;D
Greetz
Heiggo
Heiggo:
--- Zitat von: umi am 16.05.14 - 09:01:01 ---...Dann meine Frage, Wie funktioniert den das Signieren ohne Zertifikat ?
--- Ende Zitat ---
Wir haben ja Zertifikate. Die befinden sich halt auf einer Smartcard und es ist nur der öffentliche Schlüssel exportierbar, also kann man nichts brauchbares in die ID importieren. Via cv act s/mail-PlugIn ist standardmäßig auch alles schick. Auf dem Sektor macht das PlugIn, was es machen soll. Es schraubt nur an den Einstellungen einer Mail offenbar zuviel rum, obwohl man im beschrieben Fall dem PlugIn sagt, Notes soll die Mail beackern.
Uuuuuuuuuuuuund... meine grundsätzliche Frage bleibt halt... Welcher Verschlüsselungsschlüssel??? Es geht um signieren. Try out, was ich eine Etage höher mit dem Testnutzer beschrieben habe, stelle das Szenario nach und erfreue dich, das dir einer privat geschrieben hat, auch, wenn du es selber warst ;D
Gruß
Heiggo
stoeps:
Zum Signieren wird der gleiche Schlüssel verwendet wie zum Verschlüsseln!
Wenn du ein Mail signierst, wird eine Prüfsumme der Mail mit deinem Schlüssel erstellt und dein öffentlicher Schlüssel angehängt, deshalb kannst du ja, sobald du eine signierte Mail erhalten hast an diesen Absender verschlüsseln.
Zum Verschlüsseln brauchst du den öffentlichen Schlüssel des Empfängers und unterschreibst zusätzlich mit deinem Schlüssel.
Vorteil der Notesverschlüsselung, du hast die Keystruktur bereits in deiner ID (privater und öffentlicher Schlüssel von dir) und dem Domino Directory (öffentliche Schlüssel aller User).
Für die Internetverschlüsselung bräuchtest du den öffentlichen S/Mime Schlüssel des Empfängers. Fürs signieren deinen private Key.
Das Keymanagement fängt dein Plugin ab (z.B. durch den Lotus Protector) und übernimmt Signatur, Verschlüsselung & Entschlüsselung.
Jetzt hast du natürlich ein Problem mit offline Arbeitsumgebungen und dem Mailformat. Notes RTF verwendet für die Signatur deinen Notes Key aus dem ID File, bei einem Mime Mail will er einen S/Mime Key, den er aber von der Keycard nicht bekommt. Warum auch immer. Welches Mailformat verwendet denn die Online Arbeitsumgebung?
Warum befürchtet ihr Performance Einbussen beim RTF Format? Wegen der Konvertierung am Server?
Heiggo:
--- Zitat von: stoeps am 18.05.14 - 20:03:32 ---Zum Signieren wird der gleiche Schlüssel verwendet wie zum Verschlüsseln!
--- Ende Zitat ---
Ööööhm, VETO!!! Das mag bei einem einfachen Zertifikat stimmen. Wir verwenden jedoch in der Masse Fortgeschrittene. Qualifizierte benötigen nur relaltiv wenige! Auf meiner Smartcard sind z.B. diverse Zertifikate für die unterschiedlichsten Zwecke.
Wie das Ganze funktioniert weiß ich, das hatte ich auch schon geschrieben. Wer die Frage richtig liest, wird aber schnell feststellen, das es mir gar nicht in erster Linie um S/MIME geht. Wir sagen dem PlugIn, das Notes die 'externe' Mail behandeln soll. Notes-Signatur geht halt nicht, Notes merkt das und weist mich darauf hin und gut ist's. Es darf also nix passieren, außer das die Mail auf den Server geschleudert wird. Tut sie aber in der lokalen AU nicht. In der serverbasierten AU ist halt alles schick.
--- Zitat von: stoeps am 18.05.14 - 20:03:32 ---Welches Mailformat verwendet denn die Online Arbeitsumgebung?
--- Ende Zitat ---
Hatte ich auch schon beschrieben... das gleiche.... MIME
--- Zitat von: stoeps am 18.05.14 - 20:03:32 ---Warum befürchtet ihr Performance Einbussen beim RTF Format? Wegen der Konvertierung am Server?
--- Ende Zitat ---
Jupp, massiv sogar. Wir reden hier von einer recht hohen Hausnummer an Nutzern im 6-stelligen Bereich, verteilt auf ca. 66 Dominas, wovon immer 2 eine süße kleine 'Cluster-Ehe' eingegangen sind ;)
Sorry, das ich erst jetzt antwortete, aber ich habe es fast aufgegeben, weil ich der Meinung war, das niemand wirklich versteht, worum es mir eigentlich geht. Zuviele Belehrungen und Informationen über X.509 und Co., die mich nicht wirklich weiter bringen :'(
Gruß
Heiggo
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln