Sobald Zertifikate und deren Zertifikats-Ketten für die E-Mail–Signatur oder –Verschlüsselung genutzt werden, müssen diese im Regelfall auf Gültigkeit geprüft werden. Wichtig ist hierbei, dass bestimmte Grundvoraussetzungen erfüllt sein müssen, damit ein Endzertifikat als gültig betrachtet werden kann:
- Das Zertifikat selbst inklusive seiner vollständigen Zertifikats-Kette ist im Zertifikatsspeicher von NoSpamProxy hinterlegt.
- Die Sperrprüfung des Endzertifikats und aller in der Zertifikatskette enthaltenen Zwischenzertifikate war erfolgreich.
Beachten Sie, dass die Prüfung bevorzugt auf Basis des Online Certificate Status Protocol durchgeführt wird. Bietet das jeweilige Zertifikat diese nicht an, wird auf die Prüfung via Zertifikatsperrliste (Certificate Revocation List, CRL) zurückgegriffen. Beim Abruf der CRL jedes Zertifikats müssen drei Dinge gegeben sein:
- Die CRL ist von allen Gateways aus abrufbar.
- Die CRL selbst ist noch gültig.
- Das betroffene Zertifikat ist nicht auf der Zertifikatsperrliste.
Punkt 2 kann durch einen einfachen Abruf (im Falle einer per HTTP-verlinkten Liste) per Browser und anschließendes Öffnen mit Windows-Bordmitteln geprüft werden. Bedenken Sie hierbei eventuell greifende Proxy-Einstellungen.
Beachten Sie hier auch den Knowledge-Base-Artikel Konfiguration eines WebProxy.
Am einfachsten ist die Prüfung mit Hilfe eines automatisierten Skripts durchführbar. Um dieses Skript nutzen zu können, müssen Sie sich auf dem System anmelden, auf dem die Intranet Rolle installiert ist. Führen Sie dort das Skript aus. Nutzen Sie dazu wahlweise die PowerShell–Kommandozeile oder die PowerShell ISE.
Nach dem Ausführen des Skripts werden Sie nach dem Fingerabdruck des Zertifikats gefragt, das geprüft werden soll. Diesen entnehmen Sie dem Bereich Aktivitäten des Message Tracks der betroffenen E-Mail. Im besagten Bereich findet sich der Name des Antragstellers als Link. Dort findet sich der Fingerabdruck des Zertifikats, welchen Sie per Rechtsklick kopieren können.
