Zertifikatsabruf bei SwissSign scheitert mit “The request was aborted: Could not create SSL/TLS secure channel”

Fehler

Obwohl unter Kryptografische Schlüsselanbieter die Konfiguration für SwissSign korrekt erfolgt ist und alle Gatewayrollen über TCP 443 (https) auf ra.swisssign.net Zugriff haben, erscheint beim Abrufen von Zertifikaten die folgende Fehlermeldung im Eventlog:

ID: 026f7e58-9be2-4434-b562-11016c181bfd

Created: 12.06.2015 12:15:56

Mail address: Test.Benutzer@nospamproxy.de

Request type: CertificateRequest

Request status: Failed

Failure status: TrustCenterError

Error text: Unexpected error:

Message: An error occurred while sending the request.

Error type: System.Net.Http.HttpRequestException

Error code: 2148734208

Program location: at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task) at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task) at System.Runtime.CompilerServices.TaskAwaiter`1.GetResult() at Netatwork.NoSpamProxy.Cryptography.SwissSignCertificateProvider.<EnrollAsync>d__e.MoveNext()

The request was aborted: Could not create SSL/TLS secure channel.

Message: The request was aborted: Could not create SSL/TLS secure channel.

Error type: System.Net.WebException

Error code: 2148734217

Program location: at System.Net.HttpWebRequest.EndGetRequestStream(IAsyncResult asyncResult, TransportContext& context) at System.Net.Http.HttpClientHandler.GetRequestStreamCallback(IAsyncResult ar)

Subject name:E=test.benutzer@nospamproxy.de, CN=Secure Mail: Gateway Certificate

Ursache

Sowohl im Zertifikatsspeicher des Computerkontos einer oder aller Gatewayrollen sowie im Zertifikatsspeicher des NoSpamProxy Encryption Gateways befindet sich das Pseudo-AutoRAO-Dienstzertifikat zur Authentifizierung beim Dienstanbieter SwissSign.

Lösung

  1. Gehen Sie zu Identitäten > Anforderung krytographischer Schlüssel > Anbieter für Schlüsselanforderungen.
  2. Öffnen Sie die Konfiguration für SwissSign.
  3. Klicken Sie auf das hinterlegte Pseudo-AutoRAO-Zertifikat.

    Es werden die Zertifikatsdetails angezeigt, die beim Identifizieren des korrekten Zertifikats im Zertifikatsspeicher des Computerkontos hilfreich sind.


  4. Öffnen Sie als Administrator mmc.exe auf der Gatewayrolle.
  5. Klicken Sie unter Datei Snap-In hinzufügen/entfernen.
  6. Wählen Sie Zertifikate und klicken Sie Hinzufügen.
  7. Wählen Sie im neuen Fenster das Computerkonto aus und klicken Sie Weiter.
  8. Wählen Sie Lokaler Computer und klicken Sie Fertigstellen.
  9. Klicken Sie in der Snap-In-Auswahl OK.
  10. Gehen Sie zu Eigene Zertifikate und finden Sie das Pseudo-AutoRAO-Dienstzertifikat.
  11. Löschen Sie das Zertifikat.
  12. Starten Sie das betroffene Windows-System der Gatewayrolle neu.

HINWEIS: Wiederholen Sie die genannten Schritte bei Bedarf für alle weiteren Gatewayrollen.