Entrust.net Secure Server Certification Authority Probleme mit RSA Key kleiner als 2.048 Bit

Hallo Leutz,

bei einem Kunden wurden fuer die Exchange Server Zertifikate von Entrust verwendet. Seit einigen Tagen haeufen sich bei diversen Clients die Fehlermeldungen, dass die Outlook Web App Seite nicht mehr per HTTPS erreicht werden kann. Es erscheint die Meldung “Die Webseite kann nicht angezeigt werden”, welche auf den ersten Blick vermuten laesst, der IIS stellt kein Socket mehr auf Port 443 zur Verfuegung, was aber nicht der Fall ist, da das Problem nur an vereinzelten Clients auftaucht. Nach einiger Recherchen habe ich festgestellt, dass Entrust (Comodo) die Ausstellung von RSA Schluesseln kleiner als 2.048 Bit fuer eigene Zertifizierungsstellen (Root und Intermediate) gesperrt hat. Wie man die Ursache des Problems ermitteln und eine Loesung schaffen kann, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/Entrust-RootCA.pdf

Gruss Marc

One thought on “Entrust.net Secure Server Certification Authority Probleme mit RSA Key kleiner als 2.048 Bit

  1. Hallo zusammen,

    super Artikel. Ich hatte in den letzten Tagen auch ca. 10 Kunden mit diesem Problem.

    Zusammenfassend kann ich sagen, dass es ausreicht an den Exchange CAS Server (+ ggf. Reverse Proxy Servern) das Zwischenzertifikat auszutauschen und das alte (gleichnamige) Zwischenzertifikat zu entfernen.

    Es muss daraufhin “Entrust (2048)” als Root Zertifikat in der Zertifizierungskette des Publizierten Zertifikates ganz oben angezeigt werden.

    Daraufhin ist leider ein Server-Reboot notwendig um diese entsprechend zu aktivieren. (womöglich ein Caching Thema)

    An den Clients ist dann keine Aktion mehr erforderlich…

    Viele Grüße,
    Martin

Comments are closed.