Problem mit SSL-Zertifikat

  • Beim Versuch zu signieren kommt die Fehlermeldung
    "<?xml version="1.0" encoding="UTF-8" ?>
    - <sl10:ErrorResponse xmlns:sl10="http://www.buergerkarte.at/namespaces/securitylayer/20020225#">
    <sl10:ErrorCode>1000</sl10:ErrorCode>
    <sl10:Info>Das Server-Zertifikat ist leider nicht als vertrauenswürdig identifiziert! Es konnte keine formal korrekte Zertifikatskette von dem E-Goverment SSL Zertifikat zu einem vertrauenswürdigen Wurzelzertifikat konstruiert werden. Es fehlt zumindest ein Zertifikat der Kette!</sl10:Info>
    </sl10:ErrorResponse>"


    Soweit ich das feststellen kann, liegt das am SSL-Zertifikat unseres Webservers. Das Zertifikat ist ausgestellt durch
    CN = VeriSign Class 3 Secure Server CA
    OU = Terms of use at https://www.verisign.com/rpa (c)05
    OU = VeriSign Trust Network
    O = VeriSign, Inc.
    C = US


    Wenn man das Zertifikat in der BKU hinzufügt, geht das Signieren.


    Was ist zu tun, dass diese Fehlermeldung nicht mehr kommt? Es kann ja nicht sein, dass jeder Bürger das Zertifikat selbst hinzufügen muss.


    Alternative: Wir nehmen ein anderes Zertifikat. Konkret welches schlagen Sie vor?


    MfG
    HP

  • Hier ein paar Beispiele bei denen SSL Zertifikate eingesetzt werden, die sowohl im Browser als auch in der BKU sind:


    Wüstenrot
    https://eservices.wuestenrot.at/
    "Equifax Secure CA"


    Raiffeisen-Bank
    https://banking.raiffeisen.at/html/login.jsp
    "Verisign Class 3"
    Ich nehme an, dass Sie hier ein Zertifikat einer anderen Kette haben, deren Intermediate Certs nicht im Certstore von Trustdesk sind.


    Weiters befindet sich auch noch die Thawte Server CA im Truststore. Es ist am einfachsten wenn Sie den Store von Trustdesk öffnen und die Details von Thawte anschauen. Gelbes Icon->E-Government->Vertrauenswürdige Zertifizierungstellen. Unter "Zertifizierungsstellen" können Sie dann etwaige Intermediate Certs finden. Bei der Bestellung des Zerts können Sie ja bei der jeweiligen Firma die Beispiele von oben angeben. Dann sollte es kein Problem sein die richtige Kette zu bekommen.


    Ich bitte Sie aber darauf zu achten, dass die Kette des beantragten Zertifikats bei der aktuellen Version von Trustdesk komplett im Cert Store vorhanden sein muss, um eine Prüfung zu ermöglichen.


    Nehmen Sie folgende Kette als Beispiel, wobei A das Root Zert ist und die anderen vom jeweils vorigen ausgestellt wurden (also B von A, C von B, und D von C):


    A (Root CA)
    B (Intermediate CA 1)
    C (Intermedate CA 2)
    D (SSL Zert)


    In diesem Fall muss A im TrustStore als Root Anchor gesetzt sein und B/C müssen im Cert Store von Trustdesk sein. Nur so kann die Kette gebaut werden und die Prüfung erfolgreich sein.


    Bei der nächsten Version von TDB muss dies nicht mehr der Fall sein. B/C kann fehlen solange die Zertifkate vom SSL Server mitgeliefert werden.