Ein Kollege arbeitet in einem größeren metallverarbeitendem Betrieb und dort werden zum Teil interne sowie ausgehende E-Mails über SMIME verschlüsselt. Anfangs wurden selbst erstellte Zertifikate verwendet, was jedoch bei ausgehenden E-Mails bei externen Empfängern für Probleme sorgte. Gelegentlich kam es zu Problemen wenn intern verschlüsselte E-Mails versendet wurden.
Beim öffnen einer verschlüsselten E-Mail erhielt man die Fehlermeldung:
Der Name Ihrer digitalen ID kann im zugrunde liegenden Sicherheitssystem nicht gefunden werden.
Zunächst wurde vermutet das der Fehler in der Outlook SMIME Konfiguration lag, jedoch war auf Sender und Empfängerseite alles in Ordnung. Auch in den angelegten Outlookkontakten konnte kein Fehler gefunden werden.
Um festzustellen über welche Zertifikate die E-Mail verschlüsselt wurde wird das Programm MFCMAPI benötigt, welches hier heruntergeladen werden kann.
Nach dem herunterladen und starten des Programms muss das Postfach ausgewählt werden in dem sich die E-Mail befindet. Im Anschluss die E-Mail auswählen und im Kontextmenü(rechte Maustaste) das „Display Attachement Table“ öffnen. Die unter den Anhängen aufgeführte Datei smime.p7m auf zum Beispiel dem Desktop speichern.
Im letzten Schritt wird über die Kommandozeile das Programm certutil.exe (certutil.exe Pfad zur Datei) ausgeführt. Die für diesen Fall benötigten Informationen stehen in den letzten Zeilen der Ausgabe.
Recipient Info[0]:
CMSG_KEY_TRANS_RECIPIENT(1)
CERT_ID_ISSUER_SERIAL_NUMBER(1)
Serial Number: 028382882299292
Recipient Info[1]:
CMSG_KEY_TRANS_RECIPIENT(1)
CERT_ID_ISSUER_SERIAL_NUMBER(1)
Serial Number: 17363636181919
Für die Verschlüsselung der E-Mails wird ein Zertifikat des Senders und Eins des Empfängers benötigt. Eines der Zertifkate konnte anhand der Seriennummer beim Versender gefunden werden, jedoch befand sich das weitere Zertifkat nicht im Zertifikatsspeicher der Empfängers.
Ein Kollege gab den Hinweis das im Active Directory Zertifikate veröffentlicht werden konnten. Nachdem im Active Directory MMC die erweiterten Features aktiviert wurden, war ein Zugriff auf die veröffentlichten Zertifkate möglich. Unter den veröffentlichen Zertifikaten des Empfängers befand sich ein Zertifikat mit der zweiten Seriennnummer.
Nachdem das Zertifikat entfernt wurde, war ein empfangen von intern verschlüsselten E -Mails wieder möglich.