Beiträge von marc.schueller

Hallo Peter,

der Grund für die 2. CA ist lediglich, dass wir für die Anwort des OCSP-Responders ein Zertifikat benötigen. Wir haben dafür keine 2. CA aufgesetzt, sondern das Zertifikat stammt lediglich von einer anderen CA als die Nutzerzertifikate.
Da wir eine OCSP-Enterprise-Lösung anstreben kann dieses Zertifikat (das für die OCSP-Antworten) nicht in allen Nutzerzertifikaten eingetragen sein, da diese von unterschiedlichen CAs stammen können. Unser Ziel ist es also, eine einzige vertrauenswürdige Instanz in einem Unternehmen zu schaffen, an die Anfragen via OCSP gestellt werden können.
Ich hoffe, dass das Szenario jetzt etwas besser verständlich ist.

MfG.
[Marc]

Hallo,

vorab die Thunderbird-Version: 3.0 - eingesetzt unter Ubuntu Linux 9.10

Nun zum eigentlichen Thema/Problem:
In unserer Firma werden Zertifikate eingesetzt, um den E-Mailverkehr zu signieren und zu verschlüsseln. Hinzukommen soll nun noch die Validierung der Zertifikate mittels OCSP.
Dazu haben wir einen OCSP-Responder aufgesetzt, der diese Aufgabe übernehmen soll.
Die Systemlandschaft stellt sich also wie folgt dar:
Wir haben eine Root-CA, die die E-Mail-Zertifikate für unsere Mitarbeiter ausstellt. In diesen Zertifikaten ist explizit angegeben, dass sie für Signieren und Verschlüsseln von E-Mails vorgesehen sind. Daneben gibt es eine weitere CA, die genau ein Zertifikat ausstellt, das zum Signieren der OCSP-Responses des OCSP-Responders verwendet wird. Die beiden CAs sind unabhängig voneinander, d. h. sie sind nicht durch einen trust anchor miteinander verknüpft.

Wenn ich nun die Service-URL unter Menü->Bearbeiten->Einstellungen->Erweitert->Zertifikate->Validierung->OCSP verwenden->2.Option: "Alle Zertifikate mittels des folgenden OCSP-Servers validieren:"

eintragen möchte, tritt folgendes Verhalten ein. Der Service-URL *scheint* (!) nicht übernommen zu werden. Der zuvor eingegebene URL wird zwar beim erneuten Öffnen des Validierungs-Menüs nicht angezeigt, jedoch kommen bei einem Klick auf die Signierten E-Mails die Anfragen beim OCSP-Responder an und werden auch von diesem beantwortet. Unabhängig davon, welcher Status vom Responder gemeldet wird, begründet Thunderbird die der Fehlermeldung mit "Das Zertifikat, das Sie zum Unterschreiben der Nachricht verwendet haben, wurde von einer Zertifizierungsstelle herausgegeben, der Sie für diese Art von Zertifikaten nicht vertrauen".

Diese Begründung ist aber (aus meiner Sicht) falsch. Woran kann das liegen? Welche Einstellungen müsste man ändern, damit das Ergebnis der Validierung korrekt begründet wird?
BTW: Auf einem Windows XP-Rechner (32-Bit) habe ich noch Thunderbird 2.0.0.23 installiert. Ich habe dort exakt die gleichen Einstellungen wie im 3er Thunderbird unter Linux vorgenommen. Klicke ich dort auf eine signierte E-Mail im Posteingang, so wird noch nicht einmal eine Anfrage an den OCSP-Responder geschickt...
Könnte es daher sein, dass die Signatur-Validierung mittels OCSP zumindest unter Thunderbird 2.0.* noch nicht ganz fehlerfrei funktioniert?

Ich bin für jeden Rat dankbar.

MfG.
[Marc]