Anzeige:
Ergebnis 1 bis 12 von 12

Thema: S/MIME renew certificate

  1. #1
    Registrierter Benutzer
    Registriert seit
    Jan 2015
    Beiträge
    9

    S/MIME renew certificate

    Hallo,

    ich habe für unsere Mailverschlüsselung mittels XCA eine eigene PKI aufgebaut.

    Die X.509 Zertifikate klappen auch, wenn ich aber (z.B. nach Ablauf des Zertifikates) das Zertifikat renewe, wird zwar der alte private Key verwendet, ich kann aber im Thunderbird mit der neuen Zertifikatschain alte Mails nicht mehr entschlüsseln.

    Das hieße, dass ich die komplette Zertifikatshistory vorhalten muss und bei einer Neuinstallation von Thunderbird ALLE Zertifikate einzeln wieder einspielen muss?

    Habe ich hier etwas falsch verstanden? Ich dachte zur Entschlüsselung würde der private Key(der ja in jeder Chain integriert ist) ausreichen?


    Danke

    Midyr

  2. #2
    Banned
    Registriert seit
    Feb 2005
    Beiträge
    1.151
    Das klingt jetzt alles irgendwie ziemlich wirr.
    Prinzipiell wird mit einem privaten Key verschlüsselt.
    Und mit dem zugehörigen Publicpendant entschlüsselt.
    Wenn du das Zeuchs nicht entschlüsselst speicherst, musst du selbstverständlich später auf die alten öffentlichen Schlüssel zugreifen können.

    Chains haben damit erst mal nix zu tun.
    Das ist lediglich eine Kette von Schlüsseln, die von der obersten bis zur alleruntersten CA reicht. Wobei die CAs dazwischen selbst CSRs signieren können, oder halt auch nicht.

    Aber irgendwie verstehe ich dich wohl nicht richtig. Denke ich jedenfalls.

  3. #3
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    Zitat Zitat von BetterWorld Beitrag anzeigen
    Prinzipiell wird mit einem privaten Key verschlüsselt.
    Und mit dem zugehörigen Publicpendant entschlüsselt.
    Das war das Vorgehen beim Signieren.

    Wenn jemand eine Mail schickt verschlüsselt er mit dem Public-Key und entschlüsselt wird mit dem Private-Key.
    Es ist richtig, dass du den alten kram vorhalten muss... ja... ich kenne XCA jetzt nicht es gibt aber verschiedene Gültigkeitsmodelle Schalen, Ketten und Hybrid.
    Wenn dein abgelaufenes Zertifikat jetzt in die CRL aufgenommen wird? Sollte es ungültig sein. Das könnte ferner eine Ursache sein.

    Ich kenn das mit PKI + Chipkarte auch so, dass der alte Schrott mit auf die neue Karte muss sonst kann man seine alten Mails nicht mehr lesen.
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  4. #4
    Registrierter Benutzer
    Registriert seit
    Jan 2015
    Beiträge
    9
    Auf die CRL wird nicht zugegriffen.
    Ich verstehe aber nicht, wofür ich das alte Zertifikat brauche, wenn auch das neue zum alten private Key gehört. Nach meinem Verständnis bräuchte ich zum entschlüsseln lediglich meinen private Key. Die Gültigkeitsprüfung managed doch sicher der Client, in diesem Fall also TB. Aber wird von XCA die Chain evt. anders erstellt, wie ich das erwarte?

  5. #5
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    Mit der Verlängerung wird eigentlich ein komplett neues Zertifikat erstellt. Mit dem alten Privat-Key hat das somit nichts mehr zu tun bzw. der alte Key wird da nicht nochmal integriert. So kenn ich das zumindest.
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  6. #6
    Registrierter Benutzer
    Registriert seit
    Jan 2015
    Beiträge
    9
    Es wird ein neues Zertifikat erstellt, aber kein neuer private Key

  7. #7
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    Woher hast du denn die Info? Wenn der alte Private Key dabei wäre würde das theoretisch nicht möglich sein, also funktionieren.
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  8. #8
    Registrierter Benutzer
    Registriert seit
    Jan 2015
    Beiträge
    9
    Unter XCA (das ist einfach ein GUI) sieht man, dass mit einem renew'ten Zertifikat eine weitere Referenz im private Key erscheint und kein neuer.

  9. #9
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    Ok um dir da keinen Bären aufzubinden... wie XCA arbeitet weiß ich nicht. Ich kenn das nur so, dass beim Ablauf gleich der neue Private Key mit erstellt wird (vom TrustCenter) und der alte "ungültig" wird aber noch nutzbar bleibt um die alten Mails zu entschlüsseln. Den alten zu behalten wäre theoretisch möglich.
    Gibts denn in Thunderbird mehr Details? Logs?

    Was auch noch helfen könnte ist wie du die Zertifikate in Thunderbird einbindest und welche Form des Private-Key du in XCA Exportierst so wie ich das sehe geht das da "nackt" mit Zertifikat, verschlüsselt, unverschlüsselt etc.

    So wie ich das unter dem Reiter "Zertifikate" auch deute kannst du dort den Private-Key nur in Verbindung mit dem Zertifikat exportieren. Vermuten würde ich jetzt, dass du das als PKCS#12 (Kette?) exportierst und bei Thunderbird importierst und das Addon den Privat-Key nicht "global" verwendet sondern nur für die entsprechend verschlüsselten Mails der Public(Zertifikat)-Private-Key-Kombination. Was wiederum dann nur für das alte Zertifikat-Paket funktioniert, weil die Zuordnung entsprechend zum alten PKCS #12 paket vorgenommen wird.
    So weit nur ne Theorie
    Geändert von florian0285 (13.01.17 um 19:21 Uhr)
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  10. #10
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    Also ich habs mal "nachgebaut"

    Wenn ich das alte Zertifikat-PrivateKey-Paket drin lasse und nur das neue Paket importiere kann ich die alte Mail lesen. Lösche ich das Zertifikat, bekomme ich diese Fehlermeldung von Thunderbird:

    Thunderbird kann die Nachricht nicht entschlüsseln

    Der Absender hat diese Nachricht mit einem Ihrer digitalen Zertifikate verschlüsselt. Trotz allem konnte Thunderbird dieses Zertifikat und den zugehörigen privaten Schlüsseln nicht finden.
    Mögliche Lösungen:

    Wenn Sie eine SmartCard besitzen, dann legen Sie diese jetzt bitte ein.
    Wenn Sie einen anderen PC oder ein anderes Thunderbird Profil verwenden, müssen Sie Ihr Zertifikat und den zugehörigen privaten Schlüssel wiederherstellen / installieren. Zertifikat-Backups haben in der Regel die Endung ".p12".
    Hier lese ich jetzt auch raus, dass die Zuordnung der Mail zum Zertifikat erfolgt und dann vom Zertifika zum Private-Key. Also musst du den alten behalten.
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

  11. #11
    Registrierter Benutzer
    Registriert seit
    Jan 2015
    Beiträge
    9
    Hi,

    genau so mache ich das und genau dieser Fehler kommt. Das Problem vor dem ich stehe(n könnte) ist, wenn einer unserer Salesmenschen nach 10 Cert-Generationen sein Notebook neu installieren muss (oder geklaut bekommt), dass dann 10 Imports stattfinden müssen. Ich weiß, über TB kann man ein Backup der Zertifikate machen.
    Ich hatte gehofft, dass es einen anderen Weg gibt, bzw. ich was falsch gemacht habe und das der eine privkey reicht.

    Danke und gute Nacht

  12. #12
    Elefantenversteher Avatar von florian0285
    Registriert seit
    Jun 2016
    Beiträge
    1.054
    Die einzige Möglichkeit das zu entschärfen ist der Gültigkeitszeitraum und/oder das "umverschlüsseln" bzw. archivieren und ggf. neu verschlüsseln.

    Der Zeitraum beträgt in der Regel 3-5 Jahre manchmal 1-2 Jahre. Nimmst du die Mitte mit 3 Jahren benötigst du für die Aufbewahrungsfrist von meist 10 Jahren (Finanz kram usw.) 3 alte und einen neuen also 4 Schlüssel. Danach kann man archivieren oder löschen.

    Mit 4 Schlüsseln und 3 Jahren finde ich das jetzt machbar. Davon abgesehen lesen die meisten gerade mal die Mails aus dem letzten Jahr. Man sollte sich auch überlegen ob man eine Daten-Messie-Kultur fördern möchte. Reichen dem Salesman nicht die letzten 3 Jahre + die nächsten drei?
    Matthäus 7:3 Was siehst du aber den Splitter in deines Bruders Auge, und wirst nicht gewahr des Balkens in deinem Auge?

Ähnliche Themen

  1. Antworten: 1
    Letzter Beitrag: 29.06.14, 14:15
  2. SSL Certificate abgelaufen
    Von Fabeltier im Forum Linux als Server
    Antworten: 2
    Letzter Beitrag: 12.08.06, 22:25
  3. fetchmail SSL Problem (self signed certificate)
    Von tRiBUN 1.0 im Forum Linux als Server
    Antworten: 2
    Letzter Beitrag: 21.06.06, 17:22
  4. cUrl und ein neues certificate
    Von MAINHATTAN im Forum System installieren und konfigurieren
    Antworten: 0
    Letzter Beitrag: 04.05.05, 11:44
  5. proftpd: No certificate files found!
    Von steph im Forum Linux als Server
    Antworten: 7
    Letzter Beitrag: 14.04.03, 17:52

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •