SecurityServer Protocol

SecurityServer Protocol

Processing of the pipeline always writes a protocol that can be seen in the professional attribute within B2B by Practice.

Professional attribute

Figure: Professional attribute

SecurityServer protocol

Figure: SecurityServer protocol

Fehlerbeispiele

In diesem Kapitel werden einige typische Fehler beispielhaft beschrieben, wie diese sich im Protokoll äußern. Das Protokoll ist so aufgebaut, dass am Ende der Hinweis auf den Fehler ist. Nach dem Protokollbeispielen wird ein Lösungsansatz vorgestellt.

Fehlermeldung: NO ACTION

Fehler CET (Timeout oder Verbindungsfehler). Im Protokoll ist folgendes zu finden.

Protokoll der Signaturlösung
----------------------------------------------------
Pipeline NO ACTION

Lösungsansatz

Verbindung des Cryptoservers prüfen und gegebenenfalls den Cryptoserver neu starten.

Fehlermeldung: FEHLER UND WARNUNGEN: CW5, Der Zertifikats-Pfad ist ungültig

Protokoll der Signaturlösung: (Es sind Warnungen aufgetreten)
-----------------------------------------------------
Pipeline: ENCRYPTED_VERIFY_RULE
starting decryption (com.nextlevel.platform.security.gateway.filter.decrypter.SMimeDecrypter)
DECRYPTER:using certificate: 9800006500009
DECRYPTER:Email: edifact@re-fd.de
DECRYPTER:Serial No: 288350169419475868349393253579132071554
DECRYPTER:SHA-1 Fingerprint: 33:FC:2B:32:30:38:7C:FF:DF:DF:67:FA:56:AE:5C:66:60:E2:C8:96
DECRYPTER:MD5 Fingerprint: E3:7D:E3:C6:F1:66:A7:A4:D0:7D:DF:DF:1D:87:89:11
DECRYPTER:Subject DN: C=DE,ST=Hessen,L=Fulda,O=RhoenEnergie Fulda GmbH,CN=Marktkommunikation,E=edifact@re-fd.de
DECRYPTER:Issuer DN: C=BE,O=GlobalSign nv-sa,CN=GlobalSign PersonalSign 2 CA - SHA256 - G2
DECRYPTER:using private key certificate from alias 9800006500009
VERIFIER: verify message!
VERIFIER:PathReviewer Log
------------------------------------------------------
VERIFIER:Certificate 0
VERIFIER:Email: edifact@stwbo-netz.de
VERIFIER:Serial No: 589580192204851723590836879929204637419917921398
VERIFIER:SHA-1 Fingerprint: 84:7D:8F:F8:05:C8:EC:74:7F:46:D3:16:60:57:8F:06:75:E4:D0:4F
VERIFIER:MD5 Fingerprint: C0:48:77:8F:F4:68:78:DE:2A:98:4C:6F:2C:A5:AB:58
VERIFIER:Issuer: E=keymanagement@stadtwerke-bochum.de,C=DE,ST=NRW,L=Bochum,OU=Emailservice,O=Stadtwerke Bochum GmbH,CN=stadtwerke-bochum.de
VERIFIER:Subject: E=edifact@stwbo-netz.de,CN=1ab2af73-d5a3-4db6-bd8c-3a1479edf29e
------------------------------------------------------
VERIFIER:PathReviewer Log
------------------------------------------------------
VERIFIER:Certificate 1
VERIFIER:Email: keymanagement@stadtwerke-bochum.de
VERIFIER:Serial No: 632332514011861967714854787587639283290072953779
VERIFIER:SHA-1 Fingerprint: 46:C5:86:37:1A:2D:71:CA:33:31:08:E7:62:03:89:0E:2D:84:25:E9
VERIFIER:MD5 Fingerprint: F9:68:76:7F:64:48:06:12:1F:A6:39:BB:FB:B3:5C:47
VERIFIER:Issuer: E=keymanagement@stadtwerke-bochum.de,C=DE,ST=NRW,L=Bochum,OU=Emailservice,O=Stadtwerke Bochum GmbH,CN=stadtwerke-bochum.de
VERIFIER:Subject: E=keymanagement@stadtwerke-bochum.de,C=DE,ST=NRW,L=Bochum,OU=Emailservice,O=Stadtwerke Bochum GmbH,CN=stadtwerke-bochum.de
VERIFIER: Certificate specific Errors:
Id :CertPathReviewer.signatureNotVerified
Detail:Die Zertifikats Signatur ist ungültig. Es gab eine java.security.InvalidKeyException. Grund: Public key presented not for certificate signature
------------------------------------------------------
VERIFIER: Result.Error Log
-----------------------------------------------------
Id:SignedMailValidator.certPathInvalid
Detail:Der Zertifikats-Pfad ist ungültig.
-----------------------------------------------------
SMimeRuleEvaluator execute...
RuleHandler: found 0 issue(s)!
RuleHandler: issues: []
-----------------------------------------------------
FEHLER UND WARNUNGEN: CW5
Der Zertifikats-Pfad ist ungültig.
-----------------------------------------------------

Lösungsansatz

Nach den Zertifikaten, die im Protokoll angegeben werden, im Cryptoserver suchen und die angezeigten Zertifikate über den Fingerprint vergleichen. In diesem Fall gibt es ein Zertifikat mit dem Fingerprint: 84:7D:8F:F8:05:C8:EC:74:7F:46:D3:16:60:57:8F:06:75:E4:D0:4F, aber kein Zertifikat mit dem Fingerprint: 46:C5:86:37:1A:2D:71:CA:33:31:08:E7:62:03:89:0E:2D:84:25:E9. Das zweite Zertifikat ist nicht im Cryptoserver hinterlegt. Für den MP muss überprüft werden, ob das übergeordnete Root-Zertifikat vorhanden ist. Ohne ein Root-Zertifikat ist das Zertifikat nicht eindeutig identifizierbar.

Fehlermeldung: Das Zertifikat enthält eine unbekannte kritische Erweiterung mit der OID 2.5.29.37

Protokoll der Signaturlösung: (Es sind Warnungen aufgetreten))
-----------------------------------------------------
Pipeline: ENCRYPTED_VERIFY_RULE
starting decryption (com.nextlevel.platform.security.gateway.filter.decrypter.SMimeDecrypter)
DECRYPTER:using certificate: 9800006500009
DECRYPTER:Email: edifact@re-fd.de
DECRYPTER:Serial No: 288350169419475868349393253579132071554
DECRYPTER:SHA-1 Fingerprint: 33:FC:2B:32:30:38:7C:FF:DF:DF:67:FA:56:AE:5C:66:60:E2:C8:96
DECRYPTER:MD5 Fingerprint: E3:7D:E3:C6:F1:66:A7:A4:D0:7D:DF:DF:1D:87:89:11
DECRYPTER:Subject DN: C=DE,ST=Hessen,L=Fulda,O=RhoenEnergie Fulda GmbH,CN=Marktkommunikation,E=edifact@re-fd.de
DECRYPTER:Issuer DN: C=BE,O=GlobalSign nv-sa,CN=GlobalSign PersonalSign 2 CA - SHA256 - G2
recipient from certificate (alias:9800006500009) not found in Email. Continue with next try!
DECRYPTER:using certificate: 9800006400001
DECRYPTER:Email: edifact@re-fd.de
DECRYPTER:Serial No: 288350169419475868349393253579132071554
DECRYPTER:SHA-1 Fingerprint: 33:FC:2B:32:30:38:7C:FF:DF:DF:67:FA:56:AE:5C:66:60:E2:C8:96
DECRYPTER:MD5 Fingerprint: E3:7D:E3:C6:F1:66:A7:A4:D0:7D:DF:DF:1D:87:89:11
DECRYPTER:Subject DN: C=DE,ST=Hessen,L=Fulda,O=RhoenEnergie Fulda GmbH,CN=Marktkommunikation,E=edifact@re-fd.de
DECRYPTER:Issuer DN: C=BE,O=GlobalSign nv-sa,CN=GlobalSign PersonalSign 2 CA - SHA256 - G2
recipient from certificate (alias:9800006400001) not found in Email. Continue with next try!
DECRYPTER:using certificate: 9870026800002
DECRYPTER:Email: edifact@osthessennetz.de
DECRYPTER:Serial No: 288350169419475868349393253586248877629
DECRYPTER:SHA-1 Fingerprint: 9E:FF:B4:67:43:9A:82:0D:F4:CB:D6:DC:92:63:0A:1D:07:74:0B:DD
DECRYPTER:MD5 Fingerprint: 96:C1:52:59:6A:02:C5:AB:7D:34:2F:EE:0C:CB:92:3C
DECRYPTER:Subject DN: C=DE,ST=Hessen,L=Fulda,O=OsthessenNetz GmbH,CN=Marktkommunikation,E=edifact@osthessennetz.de
DECRYPTER:Issuer DN: C=BE,O=GlobalSign nv-sa,CN=GlobalSign PersonalSign 2 CA - SHA256 - G2
DECRYPTER:using private key certificate from alias 9870026800002
VERIFIER: verify message!
VERIFIER:PathReviewer Log
------------------------------------------------------
VERIFIER:Certificate 0
VERIFIER:Email: ecoop@edi-strom.de
VERIFIER:Serial No: 54050264734893144516044719260790423312
VERIFIER:SHA-1 Fingerprint: 69:91:83:DB:E5:54:4D:50:33:17:EC:AC:32:3D:D4:25:2A:43:DA:02
VERIFIER:MD5 Fingerprint: 52:4D:F2:6E:33:2F:3B:94:65:33:E0:D6:E4:A1:84:A5
VERIFIER:Issuer: C=US,O=Symantec Corporation,OU=Symantec Trust Network,OU=Persona Not Validated,CN=Symantec Class 1 Individual Subscriber CA - G4
VERIFIER:Subject: CN=Persona Not Validated - 1435920599961,E=ecoop@edi-strom.de,OU=S/MIME,OU=Persona Not Validated,OU=Symantec Trust Network,O=Symantec Corporation
VERIFIER: Certificate specific Errors:
		Id	:CertPathReviewer.unknownCriticalExt
		Detail:Das Zertifikat enhält eine unbekannte kritische Erweiterung mit der OID 2.5.29.37.
------------------------------------------------------
VERIFIER: Result.Error Log
-----------------------------------------------------
		Id:SignedMailValidator.certPathInvalid
		Detail:Der Zertifikats-Pfad ist ungültig.
-----------------------------------------------------
SMimeRuleEvaluator execute...
RuleHandler: found 0 issue(s)!
RuleHandler: issues: []
-----------------------------------------------------
FEHLER UND WARNUNGEN: CW5
Der Zertifikats-Pfad ist ungültig.
-----------------------------------------------------

Lösungsansatz

Was genau ist noch mal der Fehler? Der Fehler kann unterbunden werden, indem in der Datei verifyFilterMapping der Parameter: bc.CertPathChecker=REMOVE_ALL_UNKNOWN_EXTENSIONS mit angegeben wird. Die Datei liegt im conf Verzeichnis des Cryptoservers. Der Crytoserver muss neu gestartet werden und der CW5 Fehler wird unterdrückt.

Fehlermeldung: MimeMessage message is not a signed message

Protokoll der Signaturlösung: (Es sind Fehler aufgetreten)
-----------------------------------------------------
Pipeline: ENCRYPTED_VERIFY_RULE
starting decryption (com.nextlevel.platform.security.gateway.filter.decrypter.SMimeDecrypter)
DECRYPTER:using certificate: 9904097000000
DECRYPTER:Email: edifact@meinenergiehaus.de
DECRYPTER:Serial No: 199931474624376256949650413074273746482
DECRYPTER:SHA-1 Fingerprint: 4C:DD:5A:23:1D:D6:23:A5:C5:D2:AB:23:9B:B9:D4:29:CA:C9:6D:E5
DECRYPTER:MD5 Fingerprint: 70:ED:E0:B4:26:00:88:23:6A:5E:BC:AE:4D:6C:08:DE
DECRYPTER:Subject DN: C=DE,ST=RLP,L=Ludwigshafen,O=ESW Energiehaus Stadtwerke GmbH,CN=Christiane Doerte-Nacke,E=edifact@meinenergiehaus.de
DECRYPTER:Issuer DN: C=BE,O=GlobalSign nv-sa,CN=GlobalSign PersonalSign 2 CA - G2
recipient from certificate (alias:9904097000000) not found in Email. Continue with next try!
DECRYPTER:using certificate: 9903584000002
DECRYPTER:Email: edifact_lieferant@twl.de
DECRYPTER:Serial No: 288350169419475868349393253543187632064
DECRYPTER:SHA-1 Fingerprint: 7D:13:C5:35:80:B1:E2:D5:3F:D9:23:BA:86:3E:B9:EC:29:BB:9E:17
DECRYPTER:MD5 Fingerprint: B0:91:6D:76:98:36:3D:4C:FF:12:67:A7:B5:F4:7F:63
DECRYPTER:Subject DN: C=DE,ST=Rheinland-Pfalz,L=Ludwigshafen am Rhein,O=Technische Werke Ludwigshafen am Rhein AG,CN=B2B,E=edifact_lieferant@twl.de
DECRYPTER:Issuer DN: C=BE,O=GlobalSign nv-sa,CN=GlobalSign PersonalSign 2 CA - SHA256 - G2
DECRYPTER:using private key certificate from alias 9903584000002
VERIFIER: verify message!
java.lang.Exception: org.bouncycastle.mail.smime.validator.SignedMailValidatorException: SignedMailValidator: MimeMessage message is not a signed message.
SMimeRuleEvaluator execute...
RuleHandler: found 0 issue(s)!
RuleHandler: issues: []
-----------------------------------------------------
FEHLER UND WARNUNGEN: CE0
org.bouncycastle.mail.smime.validator.SignedMailValidatorException: SignedMailValidator: MimeMessage message is not a signed message.
org.bouncycastle.mail.smime.validator.SignedMailValidatorException: SignedMailValidator: MimeMessage message is not a signed message.
-----------------------------------------------------

Lösungsansatz

Die B2B entschlüsselt dann die Nachricht mit dem Zertifikat von Alias 9903584000002 und versucht diese zu verifizieren. Hier schlägt dann der Fehler auf. Zu überprüfen ist, ob es sich hier auch um eine Nachricht handelt die signiert ist. Vielleicht verschickt der MP eine Nachricht, die für die B2B so aussieht, als ob diese signiert ist.

TODO: Wie ist der Contenttype der Nachricht aufgebaut? Sieht dies wie bei signierten Nachrichten aus?

Fehlermeldung: Die Zertifikats Signatur kann nicht geprüft werden: Der öffentliche Schlüssel des Herausgebers ist unbekannt

Protokoll der Signaturlösung:
-----------------------------------------------------
Pipeline: ENCRYPTED_VERIFY_RULE_ACCEPT
starting decryption (com.nextlevel.platform.security.gateway.filter.decrypter.SMimeDecrypter)
DECRYPTER:using certificate: 9904097000000
DECRYPTER:Email: edifact@meinenergiehaus.de
DECRYPTER:Serial No: 199931474624376256949650413074273746482
DECRYPTER:SHA-1 Fingerprint: 4C:DD:5A:23:1D:D6:23:A5:C5:D2:AB:23:9B:B9:D4:29:CA:C9:6D:E5
DECRYPTER:MD5 Fingerprint: 70:ED:E0:B4:26:00:88:23:6A:5E:BC:AE:4D:6C:08:DE
DECRYPTER:Subject DN: C=DE,ST=RLP,L=Ludwigshafen,O=ESW Energiehaus Stadtwerke GmbH,CN=Christiane Doerte-Nacke,E=edifact@meinenergiehaus.de
DECRYPTER:Issuer DN: C=BE,O=GlobalSign nv-sa,CN=GlobalSign PersonalSign 2 CA - G2
recipient from certificate (alias:9904097000000) not found in Email. Continue with next try!
DECRYPTER:using certificate: 9903584000002
DECRYPTER:Email: edifact_lieferant@twl.de
DECRYPTER:Serial No: 288350169419475868349393253543187632064
DECRYPTER:SHA-1 Fingerprint: 7D:13:C5:35:80:B1:E2:D5:3F:D9:23:BA:86:3E:B9:EC:29:BB:9E:17
DECRYPTER:MD5 Fingerprint: B0:91:6D:76:98:36:3D:4C:FF:12:67:A7:B5:F4:7F:63
DECRYPTER:Subject DN: C=DE,ST=Rheinland-Pfalz,L=Ludwigshafen am Rhein,O=Technische Werke Ludwigshafen am Rhein AG,CN=B2B,E=edifact_lieferant@twl.de
DECRYPTER:Issuer DN: C=BE,O=GlobalSign nv-sa,CN=GlobalSign PersonalSign 2 CA - SHA256 - G2
DECRYPTER:using private key certificate from alias 9903584000002
VERIFIER: verify message!
VERIFIER:PathReviewer Log
------------------------------------------------------
VERIFIER:Certificate 0
VERIFIER:Email: edifact-netznutzung@lew-verteilnetz.de
VERIFIER:Serial No: 1326709938152671623367028483380785048
VERIFIER:SHA-1 Fingerprint: C1:6D:65:A3:90:86:D8:DD:5A:DF:94:93:B5:CD:9B:6C:1A:05:96:6A
VERIFIER:MD5 Fingerprint: ED:73:51:EA:CD:B2:C7:39:55:AE:E3:F6:08:DD:1C:B6
VERIFIER:Issuer: C=CH,O=SwissSign AG,CN=SwissSign Personal Gold CA 2014 - G22
VERIFIER:Subject: C=DE,ST=Bayern,L=Augsburg,O=Lechwerke AG,OU=(E-Mail Gateway Certificate),CN=ERSK-I-B Team Certificate,E=edifact-netznutzung@lew-verteilnetz.de
VERIFIER: Certificate specific Errors:
		Id	:CertPathReviewer.NoIssuerPublicKey
		Detail:Die Zertifikats Signatur kann nicht geprüft werden: Der öffentliche Schlüssel des Herausgebers ist unbekannt.
------------------------------------------------------
VERIFIER: Global Errors:
		Id	:CertPathReviewer.noTrustAnchorFound
		Detail:Das Root Zertifikat der Zertifizierungspfads wurde nicht von einer vertrauenswürdigen CA ausgestellt. Der Name der CA ist "CN=SwissSign Personal Gold CA 2014 - G22, O=SwissSign AG, C=CH". Der Root-Zertifikat-Speicher enthält 1.099 CA(s).
VERIFIER: Result.Error Log
-----------------------------------------------------
		Id:SignedMailValidator.certPathInvalid
		Detail:Der Zertifikats-Pfad ist ungültig.
-----------------------------------------------------
SMimeRuleEvaluator execute...
RuleHandler: found 1 issue(s)!
RuleHandler: issues: [[IssueClass: classification=CW5.1, prio=5]]
RuleHandler: using issue CW5.1 for rule finding.
RuleHandler: Found 1 rule(s): [[RuleFilter: class com.nextlevel.platform.security.gateway.filter.rule.SMimeAcceptRule]]
-----------------------------------------------------

Lösungsansatz

Zu dem Zertifikat mit dem Alias 9900027000002 gibt es kein Root Zertifikat, dass dieses Zertifikat als vertrauenswürdig kennzeichnet. Das CA muss dafür im SecurityServer hochgeladen werden.

View Me   Edit Me