Folgendes Szenario angenommen:
- Ein Benutzer erhält eine mit Secure/Multipurpose Internet Mail Extensions (S/MIME) verschlüsselte E-Mail Nachricht.
- Die Nachricht kann nicht geöffnet werden.
- Beim Öffnen der Nachricht wird folgende Fehlermeldung angezeigt:
Sorry, we're having trouble opening this item. This could be temporary, but if you see it again you might want to restart Outlook. Your digital ID name cannot be found by the underlying security system.
Die deutschsprachige Variante der Fehlermeldung:
Leider besteht ein Problem beim Öffnen dieses Elements. Dies kann vorübergebend sein. Wenn dieser Fehler erneut auftritt, sollten Sie Outlook neu starten. Der Name Ihrer digitalen ID kann im zugrunde liegenden Sicherheitssystem nicht gefunden werden.
Mögliche Ursachen
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Folgende Ursachen kommen in Frage:
- Unpassende S/MIME Capabilities im Zertifikat
- Privater Schlüssel beim Empfänger nicht vorhanden
- Privater Schlüssel beim Empfänger nicht verwendbar
Details: Unpassende S/MIME Capabilities
Die Fehlermeldung tritt auf, wenn die E-Mail mit AES verschlüsselt, das verwendete Zertifikat jedoch eine S/MIME Capabilities Zertifikaterweiterung mit Einschränkung auf 3DES hat.
Ein solcher Fall tritt vermutlich ein, wenn dem Absender ein Zertifikat des Empfängers ohne S/MIME Capabilities Erweiterung vorliegt und er Outlook ab 2016 mit Hotfix KB4484511 oder neuer verwendet, der Empfänger wiederum ein (potentiell erneuertes) Zertifikat mit dem gleichen privaten Schlüssel, aber mit der S/MIME Capabilities Erweiterung (und Einschränkung auf die "Legacy" Algorithmen) verfügt.
Details: Privater Schlüssel beim Empfänger nicht vorhanden
Diese Fehlermeldung tritt auch dann auf, wenn man als Empfänger versucht, eine verschlüsselte E-Mail zu öffnen und man nicht über den dafür benötigten privaten Schlüssel verfügt.
Letzteres kann insbesondere dann vorkommen,
- wenn der Empfänger zwar über ein S/MIME Zertifikat verfügt, dieses aber auf dem betreffenden System nicht vorhanden ist, beispielsweise
- weil er an einem einen neuen Computer arbeitet
- weil er in einer Terminalsitzung (Remote Desktop) arbeitet
- weil das Zertifikat auf einer Smartcard befindet, und diese noch nie am betreffenden Computer angeschlossen war
- weil das Zertifikat ursprünglich für einen anderen Zweck (z.B. Teilnahme an öffentlichen Ausschreibungen) beantragt wurde und noch nicht im Kontext S/MIME zum Einsatz kam.
- wenn der Empfänger versucht, eine "historische" E-Mail Nachricht zu öffnen, also eine Nachricht, die er erhalten hat, bevor ihm ein neues S/MIME Zertifikat ausgestellt wurde, und das vorige Zertifikat (samt privatem Schlüssel) auf dem betreffenden System nicht vorhanden ist.
- wenn die Nachricht auf der S/MIME-Schicht gar nicht für den Empfänger verschlüsselt wurde – das kann beispielsweise dann auftreten, wenn der Absender eine Mail an mehrere Absender sendet und ein Verschlüsselungs-Gateway verwendet, das den öffentlichen Schlüssel des Empfängers nicht kennt. Im Artikel "Microsoft Outlook: Empfänger-Zertifikate bei S/MIME verschlüsselten Mails herausfinden" ist beschrieben, wie man einen Einblick in die Verschlüsselungsschicht einer E-Mail bekommt, um zu ermitteln, mit welchen Zertifikaten die Nachricht entschlüsselt werden kann.
Bitte beachten, dass einige E-Mail Gatewaysysteme E-Mails automatisch für den Empfänger verschlüsseln, wenn dessen S/MIME Zertifikat in den gängigen Verzeichnissen der öffentlichen Zertifizierungsstellen-Anbieter gelistet ist. Beispielsweise kann über einen Onlinedienst der Firma Zertificon Einblick in diese Verzeichnisse erfolgen.
Details: Privater Schlüssel beim Empfänger nicht verwendbar
Das Problem kann auch beim Absender auftreten, wenn dieser versucht, eine verschlüsselte Mail in seinem "Gesendete Objekte" Ordner zu öffnen, und er seinen eigenen privaten Schlüssel nicht nutzen kann.
Es kann auch vorkommen, dass ein Benutzer zwar das korrekte Zertifikat in seinem Schlüsselspeicher besitzt, dieses aber nicht zum entschlüsseln einer Nachricht geeignet ist. Dies kann beispielsweise dann vorkommen, wenn das Schlüsselpaar mit dem falschen Cryptographic Service Provider (CSP) bzw. Key Storage Provider (KSP) erzeugt wurde.
Wurde das Schlüsselpaar beispielsweise per certreq.exe mit einer INF Datei erzeugt, und diese enthält keine Angabe zum Schlüsselspeicheranbieter, wird der Microsoft Base Cryptographic Provider v1.0 verwendet. Dieser kann unter Umständen zwar zum Signieren von Nachrichten, aber nicht für deren Entschlüsselung eingesetzt werden. Bei Cryptographic Service Providern kann auch eine Einschränkung auf dem privaten Schlüssel vorliegen (KeySpec), dass dieser im Allgemeinen nur zum Signieren eingesetzt werden kann (AT_SIGNATURE aber nicht AT_KEYEXCHANGE), was ebenfalls der Fall ist, wenn die Option nicht angegeben wurde.
Wie herausgefunden werden kann, welchen Schlüsselspeicheranbieter ein Zertifikat verwendet, ist im Artikel "Grundlagen: Cryptographic Service Provider (CSP) und Key Storage Provider (KSP)" beschrieben.
Lösung
Bereitstellung/Wiederherstellung des S/MIME Zertifikats
Die Lösung ist in den meisten Fällen, das S/MIME Zertifikat des Benutzers mitsamt privatem Schlüssel am entsprechenden Computer verfügbar zu machen. Hierfür muss in den meisten Fällen eine Wiederherstellung des privaten Schlüssels durch einen Schlüsselwiederherstellungs-Agenten (Key Recovery Agent, KRA) erfolgen.
Outlook-Cache beim Absender zurücksetzen
Wenn das Phänomen nur bei einzelnen Absendern auftritt, kann es in seltenen Fällen auch an diesem liegen.
Ein Indiz um festzustellen, ob man von diesem Problem betroffen ist, kann sein, dass es nicht möglich ist, den Empfänger aus dem Adressfeld in die Outlook-Kontakte einzutragen. In diesem Fall erhält der Absender folgende Fehlermeldung:
Der gewünschte Vorgang konnte nicht ausgeführt werden. Der ausgewählte Befehl ist für den Empfänger nicht gültig. Der Empfänger kann nicht den Kontakten hinzugefügt werden. Eine interne Hilfsfunktion hat einen Fehler gemeldet.
Ist dies der Fall ist es hilfreich, beim Absender den Empfänger aus der AutoVervollständigen-Liste in Outlook zu löschen (neue E-Mail verfassen und den Empfänger eingeben, mit der Maus in der Liste der Vorschläge den Empfänger markieren und "Entfernen"-Taste drücken), oder den gesamten NickName (AutoComplete) Cache des Absenders zu löschen, damit der öffentliche Schlüssel des Empfängers neu aus dem globalen Adressbuch gelesen wird.
Weiterführende Links:
- Die "S/MIME Capabilities" Zertifikaterweiterung
- Grundlagen: Cryptographic Service Provider (CSP) und Key Storage Provider (KSP)
Externe Quellen
- Nickname cache (Microsoft)
- Autocomplete Stream (Microsoft)
- Clearing AutoComplete and other Recipient Caches (ENow Software)
- Your Digital ID name cannot be found error when decrypting a message by using a 3DES certificate (Microsoft)
Ein Gedanke zu „Microsoft Outlook: Mit S/MIME verschlüsselte E-Mails können nicht geöffnet werden. Es erscheint die Fehlermeldung "Your digital ID name cannot be found by the underlying security system."“
Kommentare sind geschlossen.