Mrz 292021
 

“Beim Verschlüsseln dieser Nachricht für die aufgeführten Empfänger sind Probleme aufgetreten. Entweder ist das Zertifikat nicht vorhanden oder ungültig, oder die Verschlüsselung ist inkompatibel oder wird nicht unterstützt.”

Diese Fehlermeldung hatte ich beim Versuch, verschlüsselt an Empfänger zu senden, deren aktuelles Zertifikat im Globalen Adressbuch hinterlegt ist – und dies, obwohl die Empfänger explizit aus dem Globalen Adressbuch ausgewählt wurden.

In anderen Adressbüchern waren die Empfänger zwar teilweise auch vorhanden, aber ohne dort hinterlegtes Zertifikat. Geholfen hat mir in dieser Situation nur, die Empfänger aus allen lokalen Adressbüchern zu löschen (auch unter Gelöschte Objekte!) und dann diese mit Rechtsklick auf die Kontakte in einer empfangenen, signierten Mail inkl. Zertifikat neu anzulegen. Sodann konnte ich wieder verschlüsselt an diese Kontakte senden, auch wenn diese z.B. aus dem Globalen Adressbuch ausgewählt wurden. Mit Outlook 2016 sowie 2019 das gleiche Ergebnis. Ist dieses Verhalten normal?

Mrz 012021
 

Auf PCs, die das DATEV SiPa compact installiert haben, verlangte Outlook seit heute beim Versenden von E-Mails mit S/MIME-Signatur nach der DATEV-Smartcard (mIDentity-Stick).

Grund hierfür war, dass – in diesem Fall seit 1.3. (warum auch immer) – sich ein S/MIME-Zertifikat der DATEV für E-Mails auf den PCs befindet. Die Nutzung dieses Zerifikats kann unerwünscht sein, wenn andere S/MIME-Zertifikate vorhanden sind und verwendet werden sollen.

Nach Aufruf von certmgr.msc kann mit der rechten Maustaste über Eigenschaften, das DATEV-Zertifikat, welches “Sichere E-Mail” unter “Beabsichtigte Zwecke” vermerkt hat, für diesen Zweck oder ganz deaktiviert werden. Die Meldung “Windows-Sicherheit: Smartcardgerät auswählen” beim Mailversand verschwindet somit.

Kleiner Nachtrag:

Nach jeder Datev-Anmeldung wird das unerwünschte Zertifikat leider neu installiert. Mit diesem Powershellbefehl (am besten als .ps1-Datei  speichern) kann es entfernt werden:

gci cert:\CurrentUser\My\00009E4405741151342B22000705029445215 | foreach { Remove-Item $_.PSPath }

Die obige Beispiel-Id-Nummer natürlich durch die des Zertifikats ersetzen. Diese kann so abgerufen werden:

gci cert:\CurrentUser\My | fl

Wenn man nun noch eine Desktopverknüpfung “nach Datev.cmd” (oder ähnlich) anlegt, die das Powershellscript aufruft, kann man über diese nach jedem Datev-Logout das Zertifikat entfernen.

 %windir%\System32\WindowsPowerShell\v1.0\powershell.exe -File "[Dateipfad]\[Skriptname].ps1" 

Zuvor muss einmalig eine Powershell mit Admin-Rechten gestartet werden, um dort die Scriptausführung zu erlauben (Achtung, hiermit werden auch ggf. unerwünschte Scripts freigegeben, dies kann eine Sicherheitslücke darstellen):

Set-ExecutionPolicy -ExecutionPolicy Unrestricted

Hat jemand eine elegantere Lösung? Z.B. das Ganze Datev-seitig zu verhindern?