SEPPmail: Fehler beim CRL Check

Bei einigen SEPPmail-Installationen wird unter X.509 Certificates in der Spalte OCSP/CRL folgender Fehler angezeigt:

error: unable to get local issuer certificate

SwissSign hat vor einiger Zeit gewisse CAs getauscht, wodurch nun derselbe Name mit unterschiedlichen Hashes im Umlauf ist. Da die SEPPmail beim OCSP/CRL check nur den Namen zur Identifizierung nutzt, schlägt die Überprüfung fehl (Stand 12.0.8, ein Fix ist in Planung).

Als Workaround können unter X.509 Root Certificates die doppelten Zertifikate mit den alten Hashes gelöscht werden:

SwissSign Gold CA – G2 (SHA1-Fingerprint)

  • Neu: D8:C5:38:8A:B7:30:1B:1B:6E:D4:7A:E6:45:25:3A:6F:9F:1A:27:61
  • Alt: 02:5B:3A:4C:73:6D:F6:37:9D:C6:51:79:00:3D:0F:E5:AE:1B:86:36

SwissSign Personal Gold CA 2008 – G2 (SHA1-Fingerprint)

  • Neu: EF:E1:F5:36:1B:03:10:7D:28:48:10:D8:FC:3D:CC:87:92:07:F6:61
  • Alt: 49:43:C7:25:8C:C2:44:02:65:8E:E0:7D:32:CD:C7:10:E9:98:95:86

SwissSign Silver CA – G2 (SHA1-Fingerprint)

  • Neu: 9B:AA:E5:9F:56:EE:21:CB:43:5A:BE:25:93:DF:A7:F0:40:D1:1D:CB
  • Alt: 17:83:55:57:17:E8:58:BD:53:57:5E:41:1C:41:D9:71:9D:09:8A:7D

SwissSign Personal Silver CA 2014 – G22 (SHA1-Fingerprint)

  • Neu: AB:F4:81:D8:A1:99:1E:8C:AC:DB:B9:BA:A0:96:9A:71:0C:59:6D:8A
  • Alt: 23:B3:A7:C3:15:4B:AF:8B:3B:A1:A0:EB:1F:C0:F9:DF:C9:7D:29:69

Bei Bedarf können die offiziellen SwissSign CA Zertifikate von folgender Seite heruntergeladen werden: https://www.swisssign.com/support/ca-prod.html

Nach der Bereinigung kann der OCSP/CRL Check in den Advanced Settings manuell angestossen werden.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.