NoSpamProxy, SwissSign und URL-Encoding

Rss

Manchmal sind es die einfachen Dinge, die einer einwandfreien Funktion im Wege stehen. In diesem Fall war die Lösung nicht sofort ersichtlich, aber zum Schluss doch trivial.

Problem

Nach der Einrichtung von SwissSign als Anbieter für Schlüsselanforderungen in NoSpamProxy Server schlug die automatische Anforderung eines S/MIME-Zertifikates für ein erstes Test-Konto fehl. Die protokollierte Fehlerantwort der SwissSign API war No account available.

Dies erschien mir sehr suspekt, da ich zeitgleich in der Weboberfläche der SwissSign Manged PKI (MKPI) angemeldet war und die manuelle Ausstellung eines S/MIME-Zertifikates über die problemlos funktioniert hatte.

Die Anbieter-Konfiguration erfordert, dass neben der Auswahl des Operator-Zertifikates der MPKI auch der Kontoname und das Produkt in Textform angegeben werden, wie der nachfolgende Screenshot zeigt.

Screenshot der Anbieter-Konfiguration für Schlüsselanforderungen in NoSpamProxy mit Originalwerten für Kontoname und Produkt.
Screenshot SwissSign-Konfiguration in NoSpamProxy

Aus Gründen der Anonymisierung ist im Screenshot nicht sichtbar, dass der Kontoname Leerzeichen und Sonderzeichen enthält.

Beispiel:

  • Kontoname: MPKI00000000 – Setebos+Sohn Zuckerrüben AG
  • Produkt: SwissSign Personal S/MIME E-Mail ID Silver

Der Kontoname selbst und der Produktname können einfach aus der Weboberfläche der MPKI als Text kopiert werden.

Aber warum antwortete die API mit dem Fehlertext No account available?

Lösung

Um die Lösung zu finden, muss man wissen, dass SwissSign ihr PKI-Angebot umgebaut hat. In der alten PKI-Welt führen die o.g. Eingaben nicht zu einem Fehler. In der neuen MPKI-Welt schon.

Was liegt also näher, als die beide Stringwerte für Kontoname und Produkt einem URL-Encoding zu unterziehen?

Unser Beispiel:

  • Kontoname: MPKI00000000 – Setebos+Sohn Zuckerrüben AG

    → MPKI00000000%20-%20Setebos%2BSohn%20Zuckerr%C3%BCben%20AG
  • Produkt: SwissSign Personal S/MIME E-Mail ID Silver

    → SwissSign%20Personal%20S%2FMIME%20E-Mail%20ID%20Silver

Und als Screenshot

Screenshot der Anbieter-Konfiguration für Schlüsselanforderungen in NoSpamProxy mit URL-kodierten Werten für Kontoname und Produkt.
Screenshot mit URL-kodierten Werten

Mit den URL-kodierten Werten für Kontoname und Produkt funktioniert die Anfrage und Ausstellung von neuen S/MIME E-Mail-Zertifikaten problemlos.

Tipp MPKI-RAO-Zertifikat

Die automatisierte Ausstellung von S/MIME-Zertifikate erfordert ein sog. MPKI-Auto-RAO-Zertifikat für den SwissSign MPKI-Mandanten. RAO steht in diesem Zusammenhang für Registration Authority Officer. Da es sich nun um eine automatsierte Schnittstelle handelt, wird daraus dann der Auto-RAO. Dieses Zertifikat wird nur auf Anforderung durch SwissSign ausgestellt und dem Konto zur Verfügung gestellt, das bei der MPKI-Beauftragung als primäres Konto angegeben wurde. Idealerweise handelt es sich hier nicht um ein persönliches Benutzerkonto mit einer persönlichen E-Mail-Adresse, sondern um ein geteiltes Postfach der IT mit eingeschränktem Zugriff.

Link

Bei Fragen rund um NoSpamProxy, S/MIME und SwissSign MPKI helfe ich gerne weiter.

Viel Spaß mit S/MIME E-Mail-Verschlüsselung.

Kurz-URL | Short URL: https://granikos.eu/go/euVH
Neue Suche
aka.ms/ehlo
Logo des Exchange Summit 2026, der am 24. & 25. Februar 2025 in Würzburg stattfindet. MIt Anmelde-URL: exchange-summit.de
Cover Microsoft Exchange Server Handbuch für Administratoren - 2. Auflage
Infografik für die ENow Mailscape 365 Überwachungssoftware

Kommentar verfassen

Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren
Mehr Informationen

Entdecke mehr von Granikos GmbH & Co. KG

Jetzt abonnieren, um weiterzulesen und auf das gesamte Archiv zuzugreifen.

Weiterlesen