Zertifikatsabruf bei SwissSign scheitert mit “The request was aborted: Could not create SSL/TLS secure channel”

Fehler:

Obwohl unter “Kryptografische Schlüsselanbieter” die Konfiguration für SwissSign korrekt erfolgt ist und alle Gateway Rollen via TCP 443 (https) auf ra.swisssign.net Zugriff haben, erscheint beim Abrufen von Zertifikaten folgende Fehlermeldung im Eventlog:
ID: 026f7e58-9be2-4434-b562-11016c181bfd
Created: 12.06.2015 12:15:56
Mail address: Test.Benutzer@nospamproxy.de
Request type: CertificateRequest
Request status: Failed
Failure status: TrustCenterError
Error text: Unexpected error: Message:
An error occurred while sending the request.
Error type:
System.Net.Http.HttpRequestException

Error code: 2148734208
Program location:
at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
at System.Runtime.CompilerServices.TaskAwaiter`1.GetResult()
at Netatwork.NoSpamProxy.Cryptography.SwissSignCertificateProvider.<EnrollAsync>d__e.MoveNext()

The request was aborted: Could not create SSL/TLS secure channel.

Message:
The request was aborted: Could not create SSL/TLS secure channel.
Error type:
System.Net.WebException

Error code: 2148734217
Program location:
at System.Net.HttpWebRequest.EndGetRequestStream(IAsyncResult asyncResult, TransportContext& context)
at System.Net.Http.HttpClientHandler.GetRequestStreamCallback(IAsyncResult ar)

Subject name:E=test.benutzer@nospamproxy.de, CN=Secure Mail: Gateway Certificate

Ursache:

Sowohl im Zertifikatsspeicher des Computerkontos einer oder aller Gateway Rollen sowie im Zertifikatsspeicher des NoSpamProxy Encryption Gateways befindet sich das Pseudo-AutoRAO-Dienstzertifikat zur Authentifizierung beim Dienstanbieter SwissSign.

Lösung:

Unter “Kryptografische Schlüsselanbieter” öffnen Sie die Konfiguration für den Anbieter SwissSign. Hier finden Sie das hinterlegte Pseudo-AutoRAO-Zertifikat. Mit einem Klick auf dieses werden die Zertifikatsdetails angezeigt, die beim Identifizieren des korrekten Zertifikats im Zertifikatsspeicher des Computerkontos hilfreich sind:

Öffnen Sie nun als Administrator “mmc.exe” auf der Gateway Rolle.

Klicken Sie auf “Datei” und “Snap-In hinzufügen/entfernen” (1). Wählen Sie anschließend “Zertifikate” (2) und klicken Sie auf “Hinzufügen” (3). Es erscheint ein neues Fenster, in dem Sie das “Computerkonto” (4) auswählen und mit “Weiter” (5) bestätigen. Wählen Sie den “Lokalen Computer” (6) und klicken Sie auf “Fertigstellen” (7). Sie kehren Zurück zur Snap-In-Auswahl und bestätigen diese mit “OK” (8).

Navigieren Sie nun zu den “Eigene Zertifikate” (1) und finden Sie das Pseudo-AutoRAO-Dienstzertifikat. Wählen Sie dieses aus (2) und löschen Sie es (3). Anschließend starten Sie bitte das betroffene Windows System der Gateway Rolle neu, damit die Änderungen wirksam werden.

Wiederholen Sie diese Schritte ggf. für alle weiteren Gateway Rollen.