none
Verteilung von S/Mime Zertifikaten funktioniert nicht wie gewünscht. RRS feed

  • Frage

  • Hallo zusammen,

    wir nutzen Exchange 2013 SP1 mit Outlook 2013 und haben interne Zertifikate für Mailverschlüsselung.
    Natürlich laufen auch Zertifikate ab und werden dann rechtzeitig automatisch neu ausgerollt. Diese sind auch im AD (Server 2012) hinterlegt.
    Wir verschlüsseln auch nur intern Mails. Nun ist es aber so, dass wenn User A ein neues Zertifikat erhält und User B an User A eine verschlüsselte Mail schreibt, dann geht diese zwar raus, allerdings kann User A diese nicht öffnen mit der Meldung, dass das Zertifikat im zugrunde liegenden System nicht gefunden wurde.
    Nun instruiere ich User A an User B eine Signierte Mail zu senden, damit das öffentliche Zertifikat auch bei ihm verfügbar ist. Trotzdem funktioniert dies nicht und User B scheint nach wie vor das "alte" Zertifikat zu nutzen. Selbst wenn ich dieses an den Kontakt manuell anhänge nimmt er dies nicht. Egal was ich auch versuche, ich bekomme es nicht hin, dass das neue Zertifikat genutzt wird. Auch wenn ich eine Mail von User A nach User B verschlüsselt und signiert sende (User B kann diese ganz normal öffnen) und dieser darauf antwortet funktioniert es nicht.

    Nun kommt das Kuriose. Deaktiviere ich den Cache Modus in Outlook funktioniert alles einwandfrei. Also dachte ich mir, dann baue ich den Cache einfach neu auf. Lösche den vorhandenen und lasse einen neue erstellen, aber auch dann geht es nicht. Somit ist der einzig funktionierende Weg, den Cache Modus zu entfernen.
    Leider ist es bei uns so, dass viele im Zug arbeiten und den Cache Modus dringend brauchen.

    Ich habe leider keine Idee was zu so einem verhalten führen kann und auch keine wie ich dem auf dem Grund gehen könnte.

    Kann mir hier jemand helfen?

    Freitag, 19. Juni 2015 13:57

Antworten

  • Das hört sich nach OAB Problemen an. Kannst du testweise bei einem Client mal einstellen das trotz Cache Mode nicht das OAB runterladen wird. 

    Key: HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Outlook\Cached Mode
    Value name: DownloadOAB
    Value type: REG_DWORD
    Value: 0

    Wenn du den Key gesetzt hast, dann das OAB auf dem Client mal aus dem Profil löschen.

    Grüße

    Jörg

    Edit: Gerade kein Exchange zur Hand, aber an dem Mailuser siehst du auch beide (von Frank kurz den Befehl ausgeliehen)

    get-mailbox | where { $_.usercertificate -ne $null} | ft name,usercertificate,*smime*

    Und evt. hilft

    http://blogs.technet.com/b/pki/archive/2008/12/17/outlook-s-mime-certificate-selection.aspx

    Samstag, 20. Juni 2015 15:47

Alle Antworten

  • Das hört sich nach OAB Problemen an. Kannst du testweise bei einem Client mal einstellen das trotz Cache Mode nicht das OAB runterladen wird. 

    Key: HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Outlook\Cached Mode
    Value name: DownloadOAB
    Value type: REG_DWORD
    Value: 0

    Wenn du den Key gesetzt hast, dann das OAB auf dem Client mal aus dem Profil löschen.

    Grüße

    Jörg

    Edit: Gerade kein Exchange zur Hand, aber an dem Mailuser siehst du auch beide (von Frank kurz den Befehl ausgeliehen)

    get-mailbox | where { $_.usercertificate -ne $null} | ft name,usercertificate,*smime*

    Und evt. hilft

    http://blogs.technet.com/b/pki/archive/2008/12/17/outlook-s-mime-certificate-selection.aspx

    Samstag, 20. Juni 2015 15:47
  • Leider kam ich erst heute an das Laptop ran.

    Ich habe den Schlüssel manuell eingefügt, denn ein "Cached Mode" gab es noch nicht.

    Ich habe im Profil nicht die Stelle gefunden bei der man das OfflineAdressbuch löschen kann.
    Ich hätte nur das allg. Adressbuch löschen können, oder ist dies das Gleiche?

    Zumindest hat es mit dem gesetzten Schlüssel dann geklappt.

    Das Powershellscript gibt mir alle User mit entsprechenden Userzertifikaten aus.
    Alle User haben ein userzertifikat und ein paar haben zusätzlich ein smime Zertifikat.
    Diese sind immer unterschiedlich. Ich bin mir nur nicht sicher, was ich mit diesem Wissen anfangen soll :-)

    Der Link ist gut und ich weis nun wie Outlook vorgeht, wüsste aber nicht wie ich manuell eingreifen kann falls es mal falsch läuft wie in meinem Fall.

    Ich bin leider nicht ganz so bewandert mit Zertifikaten. Da es bis jetzt nur einige nutzten war der Bedarf auch weniger gegeben, allerdings wird es nun immer mehr genutzt und damit kommen auch immer wieder kleiner Fehler einher welche es zu lösen gilt.

    Auf jedenfall vielen Dank für die Hilfe.

    • Bearbeitet MarkSpoon Donnerstag, 25. Juni 2015 12:37
    Donnerstag, 25. Juni 2015 12:33