|
  
|
|
|
Ausgangssituation:
Bei einer ausgehenden E-Mail wurde vom Absender die kryptographische „Signatur“ der E-Mail angefordert. In den Logs des SEPPmail Secure E-Mail Gateways wird zum Signaturvorgang die Meldung
Warning: Could not find certificate chain. Add certificates to x.509 root certificates
angezeigt. Dennoch wurde die E-Mail signiert.
Frage:
Was bedeutet diese Meldung und wie kann sie beseitigt werden?
Ursache:
In Zertifikaten, welche für das Signieren verwendet werden, ist normalerweise die Zertifikatskette nicht enthalten. Das SEPPmail Secure E-Mail Gateway ergänzt erst beim Vorgang des Signierens die Zertifikatskette. Dadurch kann auf Empfängerseite das Zertifikat der Signatur auch dann erfolgreich geprüft werden kann, wenn dort nur das Root Zertifikat als vertrauenswürdig eingestuft ist, die Zertifikatskette – also die Zwischen- oder auch Intermediate- Zertifikate – jedoch nicht bekannt ist.
Lösung:
Damit das SEPPmail Secure E-Mail Gateway die Zertifikatskette wie beschrieben ergänzen kann, muss diese auch bekannt sein. Das heißt, das Root- sowie die Intermediate- Zertifikate der ausstellenden CA der internen User müssen unter X.509 Root Certificates importiert und das Vertrauen (trust) ausgesprochen werden.
Kommt eine MPKI zum Einsatz, so kann dieser Vorgang durch Klicken von Add or Update... im Abschnitt Chain certificates (needed to sign e-mails) der Sektion Settings der jeweiligen MPKI Detail-Einstellungen automatisch durchgeführt werden.
