In diesem Menü wird die Vertrauensstellung zu den einzelnen Zertifizierungsstellen (CA) verwaltet.
Bei der Installation sind bereits die Root CA Zertifikate der üblichen, akkreditierten CAs voraufgenommen (siehe auch Trust state set by), ähnlich wie zum Beispiel bei Internet Browsern. Gegebenenfalls kann diese vorhandene Liste mit eventuell bestehenden Revisionsvorgaben abgeglichen und unter Umständen unerwünschten CAs das Vertrauen entzogen werden. Das heisst, SEPPmail nimmt hier keine weiteren Änderungen vor, auch nicht zum Beispiel bei Updates. Somit sind unerwünschte Eingriffe in das Sicherheitskonzept des jeweiligen Betreibers ausgeschlossen.
Ab der Installation wächst das System an dieser Stelle dynamisch. Gehen auf dem SEPPmail Secure E-Mail Gateway signierte E-Mails ein, deren Signaturzertifikate von unbekannten Zertifizierungsstellen stammen, so werden gegebenenfalls Root- und Zwischenzertifikate aus diesen Signaturen eingesammelt und mit dem Status «?» (unbekannt) gespeichert. Dabei wird den Mitgliedern der x509rootcertificatesadmin eine E-Mail Nachricht mit dem Betreff «IMPORTANT: SEPPmail new CA certificates added on ...» gesendet. Ebenso enthalten ist diese Information im Daily Report, welcher dadurch den Status «IMPORTANT» erhält und somit auch an die Mitglieder der admins und die Postmaster address gesendet wird.
Im Anschluss sollte das Einstufen dieser Zertifikate bezüglich deren Vertrauenswürdigkeit durch einen Administrator erfolgen.
Über die Schaltfläche Import S/MIME root certificate... öffnet das Sub-Menü für den Import einzelner oder mehrerer (Bulk) Root-Zertifikate von Kommunikationspartnern
Über die Schaltfläche Advanced settings... öffnet das Sub-Menü . In diesem kann Eingestellt werden, wie mit X.509 Root Zertifikaten umzugehen ist.
Sektion Filter
Das Eingabefeld mit der Schaltfläche Filter... dient der Suche nach entsprechenden Zertifikaten anhand einer der in der Tabelle aufgeführten Merkmale. Die Eingabe des Suchbegriffs erfolgt als Zeichenfolge (string).
Sektion Root certificate
Angezeigt werden die Root- und Zwischenzertifikate wie folgt.
Spalte
|
Beschreibung
|
Trust state
|
Zeigt die Vertrauensstellung an. Mögliche Status sind
•trusted |
è
|
vertrauenswürdig
|
•UNTRUSTED |
è
|
nicht vertrauenswürdig
|
•? |
è
|
unbekannt
|
•implicit |
è
|
Zwischenzertifikat, welches aus einer gültigen E-Mail Signatur extrahiert und importiert wurde.
Zwischenzertifikaten mit dem Status «implicit» wird ohne manuellen Eingriff vertraut, solange dem zugehörigen Root Zertifikat nicht das Vertrauen entzogen wird.
|
•ORPHANED |
è
|
Zwischenzertifikat, dessen zugehöriges Wurzel-Zertifikat fehlt.
Aufgrund des fehlenden Wurzel-Zertifikats kann diesen Zertifikaten selbst dann nicht vertraut werden, wenn der Status auf «trusted» (siehe ) gesetzt wird. In diesem Fall würde der angezeigte Status sofort nach dem Importieren und dem Aussprechen des Vertrauens des zugehörigen Wurzel-Zertifikates von ORPHANED zu «trusted» wechseln.
|
Bei unbekanntem Status («?») ist ein Eingreifen des Administrators erforderlich. Dieser muss entscheiden, ob der Zertifizierungsstelle vertraut werden soll oder nicht. Sind Zertifikate mit dem Status «?» vorhanden, so werden diese bei Auftauchen an die CA-Administratoren (siehe caadmin) und im Rahmen des Daily Report, welcher dann den Status «IMPORTANT» erhält, den Maschinen-Administratoren (siehe admin) gemeldet.
Durch Klicken auf den Vertrauensstatus des Zertifikates können Details eingesehen und die Vertrauensstellung angepasst werden (siehe Untermenü ).
|
Hinweis:
Zertifikate aus Signaturen, deren ausstellenden Zertifizierungsstelle vertraut (trusted) wird, werden automatisiert eingesammelt (siehe ) und stehen somit für das Verschlüsseln bereit.
|
|
Hinweis:
(geändert in 12.1)
Wird der Status eines Zertifikates auf «trusted» geändert, so vererbt sich dieser Status in der Baumstruktur nach unten auf alle zugehörigen Zwischen-(Intermediate-)Zertifikate bis zum ersten, welches gegebenenfalls den Status «untrusted» aufweist.
Bei Ändern des Status auf «untrusted» ändern sich alle in der Baumstruktur darunterliegenden Zertifikate hin zu «untrusted», egal welchen Status diese vorher hatten.
Ein Zertifikat, welches in der Baumstruktur unterhalb eines anderen Zertifikates mit dem Status «untrusted» liegt, kann niemals in den Status «trusted» versetzt werden.
|
|
Subject
|
Gibt den Namen (CN) des Antragstellers an
|
Trust state set by
(neu in 12.1)
|
Zeigt an, von wem das Zertifikat ausgestellt wurde.
•Factory (trusted by SEPPmail factory default settings) |
è
|
Im Auslieferungszustand des SEPPmail Secure E-Mail Gateways mitgeliefert Zertifikate.
|
•Automatic (auto-trusted by RuleEngine) |
è
|
Zertifikate, welchen durch die Option Automatically trust new root certificates das Vertrauen ausgesprochen wurde.
|
•Manual (Administrator through Admin-GUI) |
è
|
Zertifikate, welchen das Vertrauen manuell über die Administrationsoberfläche ausgesprochen oder entzogen wurde.
|
•none |
è
|
Zertifikate mit undefiniertem Vertrauensstatus (Trust state "?")
|
|
Issued on
|
Ausstelldatum des Zertifikats in der Form JJJJ-MM-TT
|
Expires on
|
Ablaufdatum des Zertifikats in der Form JJJJ-MM-TT
|
Fingerprint
|
Zeigt den Fingerprint (Hash) des Zertifikates an.
|
Type
|
Gibt den Hash des Zertifikates an.
Zum Beispiel RSA-MD5, RSA-SHA1, RSA-SHA256,...
|
Validity
|
Gibt die Gültigkeit des Zertifikates an. Mögliche Status sind
•«keiner», was mit «OK» gleichzusetzen ist
•REVOKED
•EXPIRED |
OCSP/CRL check
|
Ergebnis der OCSP/CRL Prüfung. Mögliche Status sind
•OK
•?
•uncheckable
•uncheckable (no supported CRL / OCSP mechanism)
•revoked |
Sektion Root certificate with verification errors
(neu in 12.1)
Angezeigt werden die Root- und Zwischenzertifikate wie folgt.
Spalte
|
Beschreibung
|
Trust state
|
siehe Root certificate Trust state
|
Subject
|
siehe Root certificate Subject
|
Trust state set by
|
siehe Root certificate Trust state set by
|
Issued on
|
siehe Root certificate Issued on
|
Expires on
|
siehe Root certificate Expires on
|
Fingerprint
|
siehe Root certificate Fingerprint
|
Type
|
siehe Root certificate Type
|
Validity
|
Gibt den Ursache aus, weshalb ein Zertifikat ungültig ist.
 | mögliche Status
unspecified certificate verification error
unable to get issuer certificate
unable to get certificate CRL
unable to decrypt certificate's signature
unable to decrypt CRL's signature
unable to decode issuer public key
certificate signature failure
CRL signature failure
certificate is not yet valid
certificate has expired
CRL is not yet valid
CRL has expired
format error in certificate's notBefore field
format error in certificate's notAfter field
format error in CRL's lastUpdate field
format error in CRL's nextUpdate field
out of memory
self signed certificate
self signed certificate in certificate chain
unable to get local issuer certificate
unable to verify the first certificate
certificate chain too long
certificate revoked
invalid CA certificate
path length constraint exceeded
unsupported certificate purpose
certificate not trusted
certificate rejected
subject issuer mismatch
authority and subject key identifier mismatch
authority and issuer serial number mismatch
key usage does not include certificate signing
unable to get CRL issuer certificate
unhandled critical extension
key usage does not include CRL signing
unhandled critical CRL extension
invalid non-CA certificate (has CA markings)
proxy path length constraint exceeded
key usage does not include digital signature
proxy certificates not allowed, please set the appropriate flag
invalid or inconsistent certificate extension
invalid or inconsistent certificate policy extension
no explicit policy
Different CRL scope
Unsupported extension feature
RFC 3779 resource not subset of parent's resources
permitted subtree violation
excluded subtree violation
name constraints minimum and maximum not supported
application verification failure
unsupported name constraint type
unsupported or invalid name constraint syntax
unsupported or invalid name syntax
CRL path validation error
Path Loop
Suite B: certificate version invalid
Suite B: invalid public key algorithm
Suite B: invalid ECC curve
Suite B: invalid signature algorithm
Suite B: curve not allowed for this LOS
Suite B: cannot sign P-384 with P-256
Hostname mismatch
Email address mismatch
IP address mismatch
No matching DANE TLSA records
EE certificate key too weak
CA certificate key too weak
CA signature digest algorithm too weak
Invalid certificate verification context
Issuer certificate lookup error
Certificate Transparency required, but no valid SCTs found
proxy subject name violation
OCSP verification needed
OCSP verification failed
OCSP unknown cert
Certificate public key has explicit ECC parameters |
|
OCSP/CRL check
|
siehe Root certificate OCSP/CRL check
|
