MOASPSS: Certificate status: Unknown

  • Da sich unser Server hinter einem Proxy befindet der kein CRL erlaubt haben wir RevocationChecking auf OCSP gesetzt:


    Code
    1. <cfg:RevocationChecking>
    2. <cfg:EnableChecking>true</cfg:EnableChecking>
    3. <cfg:MaxRevocationAge>0</cfg:MaxRevocationAge>
    4. <cfg:ServiceOrder>
    5. <cfg:Service>OCSP</cfg:Service>
    6. </cfg:ServiceOrder>
    7. [..]
    8. </cfg:RevocationChecking>


    Lt. log sagt er auch "MSG=OCSP response successfully received", am Ende kommt dann aber "OCSP response not trusted thus setting revocation status to unknown".


    Wo kann der Fehler liegen?


    Auszug aus dem Log:


  • Hallo,


    Ich vermute, dass das Personenbindungs-Vertrauensprofil der dahinterliegenden MOA-SP Instanz nicht aktuell ist. Die A-Trust verwendet seit Oktober ein neues OCSP-Signer Zertifikat. Leider befindet sich dieses Zertifikat in einer anderen Zertifikatshierarchie, wodurch das Vertrauensprofil aktualisiert werden muss.


    Die Vorgehensweise finden Sie unter folgendem Link beschrieben: https://joinup.ec.europa.eu/so…s-ocsp-dienstes-der-trust


    Die entsprechend einzuspielenden Zertifikate finden Sie unter: https://joinup.ec.europa.eu/si…ult/files/Zertifikate.zip


    Ich hoffe, dass sich hiermit ihr Problem beheben lässt.


    MfG

  • Hallo,


    Verzeihen Sie - ich hab fälschlicherweise angenommen, dass bei Ihnen das Problem im Zuge einer MOA-ID Anmeldung aufgetreten ist - darum mein Kommentar zu Personenbindungs-Vertrauensprofil.


    Das Problem dürfte aber wohl auf die gleiche Ursache zurückzuführen sein. D.h. sie müssten das bzw. die betroffenen Vertrauensprofile ihrer MOA-SP-Installation updaten. Der oben angeführte Link enthält auch die Update-Beschreibung für eine alleinige Installation von MOA-SP.


    MfG

  • Danke fuer die rasche Antwort! Ich habe die Zertifikate nochmals installiert (im Trustprofile war es zumindest schon vorhanden), leider bleibt die Fehlermeldung aber gleich.


    Wenn ich zum Testen


    Code
    1. <cfg:EnableChecking>false</cfg:EnableChecking>


    setze funktioniert alles (aber eben ohne CRL check).

  • Hallo,


    Alles klar - das Problem ist etwas tiefergehend:
    Die CA-Zertifikate der A-Trust bieten die Widerrufsprüfung nur via CRL an. OCSP wird nur für Enduser-Zertifikate unterstützt. Das Problem ist nun, dass Sie nur OCSP ermöglichen und MOA-SP daher den Status der CA-Zertifikate nicht feststellen kann. Abhilfen gibt es zwei:


    1.) CRL-Prüfung über den Proxy erlauben, wobei ich nicht weiß ob das bei Ihnen möglich ist bzw. mit welchem Aufwand es verbunden ist.


    2.) Sie müssen allen Intermediate-CA Zertifikaten direkt vertrauen, d.h. sie müssen diese dem entsprechenden Vertrauensprofil hinzufügen. Meines Wissens nach müssen Sie auch das OCSP-Responder in das Vertrauensprofil geben, da diese auch nur CRL unterstützt. Das "Problem" bei dieser Variante ist jedoch, dass sobald es eine neues Intermediate-CA Zertifikat gibt, diese wieder dem Vertrauensprofil hinzugefügt werden muss (beim OCSP Responder Zertifikat ist das Problem wohl geringer, da dieses ja erst kürzlich ausgetauscht wurde und daher noch länger eingesetzt wird).


    MfG