Woher bekommt Ihr Eure Email-Zertifikate?
Hallo,
wir haben früher immer unsere Email-Zertifikate (S/Mime .p12) über die Bundesdruckerei bestellt. Das war immer mega kompliziert und aufwendig sowie teuer (rund 100 Euro für 2 Jahre pro Zertifikat).
Dann bekam ich einen Tipp, dass der Anbieter "Actalis" S/Mime-Zertifikate kostenlos anbietet.
Das habe ich jetzt ca. 1,5 Jahre lang genutzt und es funktionierte sehr gut.
Nun hat "Actalis" die kostenlose Vergabe jedoch eingestellt und bietet Email-Zertifikate nun auch gegen Gebühr an. Darüber hinaus ist die Bestellung aber auch super kompliziert geworden und kaum zu durchschauen (warum auch immer).
Daher würde ich gerne wissen, ob es auch jetzt noch seriöse Anbieter gibt, wo man Email-Zertifikate kostenlos ausstellen lassen kann oder vielleicht nur gegen eine geringe Gebühr. Bei meinen Recherchen habe ich jedenfalls keinen solchen Anbieter gefunden...
Habt Ihr da Tipps für mich... und... wo bestellt Ihr Eure S/Mime-Zertifikate?
Grüße von
Yan
wir haben früher immer unsere Email-Zertifikate (S/Mime .p12) über die Bundesdruckerei bestellt. Das war immer mega kompliziert und aufwendig sowie teuer (rund 100 Euro für 2 Jahre pro Zertifikat).
Dann bekam ich einen Tipp, dass der Anbieter "Actalis" S/Mime-Zertifikate kostenlos anbietet.
Das habe ich jetzt ca. 1,5 Jahre lang genutzt und es funktionierte sehr gut.
Nun hat "Actalis" die kostenlose Vergabe jedoch eingestellt und bietet Email-Zertifikate nun auch gegen Gebühr an. Darüber hinaus ist die Bestellung aber auch super kompliziert geworden und kaum zu durchschauen (warum auch immer).
Daher würde ich gerne wissen, ob es auch jetzt noch seriöse Anbieter gibt, wo man Email-Zertifikate kostenlos ausstellen lassen kann oder vielleicht nur gegen eine geringe Gebühr. Bei meinen Recherchen habe ich jedenfalls keinen solchen Anbieter gefunden...
Habt Ihr da Tipps für mich... und... wo bestellt Ihr Eure S/Mime-Zertifikate?
Grüße von
Yan
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673185
Url: https://administrator.de/forum/email-zertifikate-smime-kostenlos-673185.html
Ausgedruckt am: 26.06.2025 um 05:06 Uhr
32 Kommentare
Neuester Kommentar
Ich kaufe die bei PSW Group. Billig ist das nicht aber der Service war immer gut und hilfreich.
https://www.psw-group.de/smime/sectigo-smime-basic-a001782/
https://www.psw-group.de/smime/sectigo-smime-basic-a001782/
Hmm, ich habe privat noch ein oder zwei kostenlose S/MIME von Actalis für so Freemailer. Die verlangen mittlerweile nur ein registriertes Konto pro S/MIME-free, ist also bisschen aufwändiger, aber soweit ich weiss noch möglich.
Unregistriert kommt man halt nicht mehr dran.
Für geschäftliche Sachen würde ich da eher die verbreiteten, kommerziellen Anbieter nutzen, wie mein Vorredner schon vorgeschlagen hat.
Unregistriert kommt man halt nicht mehr dran.
Für geschäftliche Sachen würde ich da eher die verbreiteten, kommerziellen Anbieter nutzen, wie mein Vorredner schon vorgeschlagen hat.
Sectigo ist noch recht günstig.
https://www.sectigo.com/de/ssl-tls-zertifikate/email-sicherheit
Dort haben wir schonmal bestellt.
Edit: Sorry, erste Antwort gar nicht gesehen -
https://www.sectigo.com/de/ssl-tls-zertifikate/email-sicherheit
Dort haben wir schonmal bestellt.
Edit: Sorry, erste Antwort gar nicht gesehen -
Moin,
+1 für PSW Group. Der Service ist wirklich allerbest.
+1 für PSW Group. Der Service ist wirklich allerbest.
+1
1
Moin,
Ich generiere die selbst.
lks
Ich generiere die selbst.
lks
1
auch unsere beziehen wir über Sectigo
Ich benutze für meine Kunden Globalsign.
21,- € / Jahr
21,- € / Jahr
Hallo,
im Tobit David Admin kann ich ganz einfach für alle User (oder bestimmte User) Zertifikate bestellen und auch verlängern. Es ist dann automatisch bei jedem Endgerät (Mobil/PC) integriert.
Keine Dritthersteller Gateway/Tool notwendig.
Funktioniert perfekt.
Es kostet 21,50 netto (s/mime class1) / pro Mann / Jahr
https://david.tobit.software/tech-briefing_05_24
https://david.tobit.software/digitalesignatur
im Tobit David Admin kann ich ganz einfach für alle User (oder bestimmte User) Zertifikate bestellen und auch verlängern. Es ist dann automatisch bei jedem Endgerät (Mobil/PC) integriert.
Keine Dritthersteller Gateway/Tool notwendig.
Funktioniert perfekt.
Es kostet 21,50 netto (s/mime class1) / pro Mann / Jahr
https://david.tobit.software/tech-briefing_05_24
https://david.tobit.software/digitalesignatur
Moin,
ich werfe noch Hornet-Security mit deren sMIME-Gateway mit ein.
Damit ist keine Ende-Zu-Ende-Verschlüsselung mehr, aber es löst einige Probleme.
- Mailarchiverung ohne Zertifikate nutzbar
- Antispam und sMIME kombiniert
- Kein fummeliges ausstellen von Zertifikaten (passiert durch HS)
- Keine Probleme mit Endgeräten (Ich hatte das immer mal wieder, dass Outlook irgenwas nicht signieren wollte)
Stefan
ich werfe noch Hornet-Security mit deren sMIME-Gateway mit ein.
Damit ist keine Ende-Zu-Ende-Verschlüsselung mehr, aber es löst einige Probleme.
- Mailarchiverung ohne Zertifikate nutzbar
- Antispam und sMIME kombiniert
- Kein fummeliges ausstellen von Zertifikaten (passiert durch HS)
- Keine Probleme mit Endgeräten (Ich hatte das immer mal wieder, dass Outlook irgenwas nicht signieren wollte)
Stefan
Zitat von @StefanKittel:
ich werfe noch Hornet-Security mit deren sMIME-Gateway mit ein.
Damit ist keine Ende-Zu-Ende-Verschlüsselung mehr, aber es löst einige Probleme.
- Keine Probleme mit Endgeräten (Ich hatte das immer mal wieder, dass Outlook irgenwas nicht signieren wollte)
ich werfe noch Hornet-Security mit deren sMIME-Gateway mit ein.
Damit ist keine Ende-Zu-Ende-Verschlüsselung mehr, aber es löst einige Probleme.
- Keine Probleme mit Endgeräten (Ich hatte das immer mal wieder, dass Outlook irgenwas nicht signieren wollte)
...damit kreiert man sich dann neue Probleme.
Der IT-Dienstleister unseres Steuerbüros hat darauf umgestellt, eben wegen der Archivierungs- unter Weiterleitungsthematik. Hat ein Zertifikat auf die kanzlei@ ausgestellt und war dann fertig damit.
Da wir nur von zwei Arbeitsplätzen an die Kanzlei senden, haben wir in Outlook integrierte Benutzerzertifikate dafür genutzt, was nun nicht mehr funktionierte.
A hatten wir den öffentlichen Schlüssel nicht und B als wir ihn hatten ging es nicht, da dieser für kanzlei@ eben nicht auf den Zielbenutzer ausgestellt war, die Kanzlei aber dennoch die Zustellung personalisiert wünschte.
Ende vom Lied die zwei Kolleginnen nutzen nun ein Hornet Mailgatewaylogin der Kanzlei und können dort nur auf eine Mail antworten, umständlich, nervig und irgendwie nicht im Sinne des Erfinders...
Grüße
ToWa
Moin,
Gruß,
Dani
Habt Ihr da Tipps für mich... und... wo bestellt Ihr Eure S/Mime-Zertifikate?
wir nutzen als Fallback SwissSign. Um CAs aus den USA machen wir schon seit 10 Jahren einen großen Bogen.Gruß,
Dani
1
Also wenn man ein Gateway oder eine eigene CA haben möchte kann man mit Ciphermail ne ganze Menge coole Sachen machen. Ich habe dort auch Domain-zu-Domain Verschlüsselung mit self singed Zertifikaten eingerichtet, geht super wenn die Gegenseite das kann (bei uns aber bisher nur die Sparkasse). Ich hab sogar für externe Leute damit schon spasseshalber Zertifikate erstellt.
Hier sollte aber an alle signiert werden und die meisten Leute können aber mit self singed nicht wirklich was anfangen und daher haben wir dann eine öffentliche CA genommen und die Zertifikate in Ciphermail eingebunden.
Hier sollte aber an alle signiert werden und die meisten Leute können aber mit self singed nicht wirklich was anfangen und daher haben wir dann eine öffentliche CA genommen und die Zertifikate in Ciphermail eingebunden.
Bleibt der Aufwand wie man gekaufte Zertifikate für n Personen dort reinbekommt.
Gibt es eigentlichen Firmen-sMIME-Zertifikate?
Stefan
d.h. fuer M365 gibt es keine zero-touch-admin-lösung?
Zitat von @StefanKittel:
Bleibt der Aufwand wie man gekaufte Zertifikate für n Personen dort reinbekommt.
Stimmt. Die Zertifikate sind ja auch alle mit E-Mail Validation, man muss schon einiges an Aufwand betreiben. Habe das dann aus der E-Mail Archivierung gefischt und selbst validiert. Hier sind es 35 User, war jetzt nicht die Welt.Bleibt der Aufwand wie man gekaufte Zertifikate für n Personen dort reinbekommt.
Gibt es eigentlichen Firmen-sMIME-Zertifikate?
Eigentlich nicht. Es steht immer eine Mail-Adresse im Zertifikat und für das Postfach ist dann das Zertifikat. Ich habe auch noch keinen Client gesehen, der das nicht erzwingen würde. Du kannst aber bei Ciphermail ein oder mehere beliebige Zertifikate zur Verschlüsselung auswählen und das ganze an eine Domain-Regel pappen. Wenn auf der anderen Seite auch ein Gateway steht, versucht es halt zu entschlüsseln. Hat es auch nur einen private key, kann es die Nachricht lesen.
Zitat von @StefanKittel:
Gibt es eigentlichen Firmen-sMIME-Zertifikate?
Im Sinne von Wildcard, nein.
Ansonsten gibt es auch Indentitäts- und Organisationsvalidierte Zertifikate, die dann mehr Informationen enthalten.
2
Hallo und danke für die vielen Antworten.
Habe mich jetzt mal direkt bei Actalis erkundigt und es gibt noch für ein Jahr ein freies Zertifikat und wenn es dann verlängert werden soll, kostet das neuerdings dann 6 Euro. Das wäre OK.
Die haben den Bestellprozess jedoch auch entsprechend verkompliziert und man muss mehr Daten eingeben. Aber habe das eben mal durchgespielt und es hat funktioniert.
Vom Preis her ist Actalis dann wohl noch immer einer der günstigesten Anbieter oder sogar DER günstigste Anbieter.
Habe aber testweise einfach auch mal "Volksverschlüsselung" ausprobiert. Das ist tatsächlich komplett kostenlos. Man muss halt nur seinen Personalausweis mit einem RFID-Scanner einscannen und dazu braucht man dann auch seine Perso-PIN. Der Installationsprozess geht dann komplett über das Programm und sogar die Installation - z.B. in Outlook, Edge, Firefox etc. geht ebenso automatisch über das Programm. Man kann am Ende die .p12-Datei aber auch runterladen als Kopie.
Lief auch problemlos und das Zertifikat ist sogar für 3 Jahre gültig.
Das ist momentan mein Favorit und... kostenlos
Grüße von
Yan
Habe mich jetzt mal direkt bei Actalis erkundigt und es gibt noch für ein Jahr ein freies Zertifikat und wenn es dann verlängert werden soll, kostet das neuerdings dann 6 Euro. Das wäre OK.
Die haben den Bestellprozess jedoch auch entsprechend verkompliziert und man muss mehr Daten eingeben. Aber habe das eben mal durchgespielt und es hat funktioniert.
Vom Preis her ist Actalis dann wohl noch immer einer der günstigesten Anbieter oder sogar DER günstigste Anbieter.
Habe aber testweise einfach auch mal "Volksverschlüsselung" ausprobiert. Das ist tatsächlich komplett kostenlos. Man muss halt nur seinen Personalausweis mit einem RFID-Scanner einscannen und dazu braucht man dann auch seine Perso-PIN. Der Installationsprozess geht dann komplett über das Programm und sogar die Installation - z.B. in Outlook, Edge, Firefox etc. geht ebenso automatisch über das Programm. Man kann am Ende die .p12-Datei aber auch runterladen als Kopie.
Lief auch problemlos und das Zertifikat ist sogar für 3 Jahre gültig.
Das ist momentan mein Favorit und... kostenlos
Grüße von
Yan
Hallo,
kennt Jemand einen Anbieter für sMIME-Zertifikate wo der Prozess komplett mit API abläuft ohne Zugriff auf das Postfach? Zum Beispiel nur per DNS-Eintrag?
Stefan
kennt Jemand einen Anbieter für sMIME-Zertifikate wo der Prozess komplett mit API abläuft ohne Zugriff auf das Postfach? Zum Beispiel nur per DNS-Eintrag?
Stefan
Zitat von @StefanKittel:
Hallo,
kennt Jemand einen Anbieter für sMIME-Zertifikate wo der Prozess komplett mit API abläuft ohne Zugriff auf das Postfach? Zum Beispiel nur per DNS-Eintrag?
Stefan
Hallo,
kennt Jemand einen Anbieter für sMIME-Zertifikate wo der Prozess komplett mit API abläuft ohne Zugriff auf das Postfach? Zum Beispiel nur per DNS-Eintrag?
Stefan
I.d.R. geschieht das per einmaliger Domain-Validation (Organization-Validation), danach ist für das Ausstellen von SMIME-Certs sämtlicher Mails dieser Domain keine Validation mehr nötig, hier z.B. DigiCert
https://dev.digicert.com/en/certcentral-apis/services-api/orders/order-s ...
Bei anderen ist das ähnlich realisiert.
2
APIs bietet vermutlich jeder Zertifikatsanbieter an. PSW wird auch bei Sectigo über API laufen, bietet aber auch selbst eine API. Nur muss das eben dann noch in dein Endprodukt integriert werden.
Hallo,
das mit der api von digicert schaue ich mir an.
Die Verfahren die ich kennen, egal ob mit api oder web laufen immer auf das Gleiche hinaus.
- Der User bekommt eine Mail mit Link
- Dann ein Formular
- Dann lädt er in seinem Browser das Zertifikat runter und es ist gleich in Windows integriert.
- Dann muss Jemand ein Backup davon machen falls der PC Hops geht
Und das bei Usern die mir nach 1 Jahr O365 sagen, dass sie noch niemals eine 2FA-App benutzt hätten...
Stefan
das mit der api von digicert schaue ich mir an.
Die Verfahren die ich kennen, egal ob mit api oder web laufen immer auf das Gleiche hinaus.
- Der User bekommt eine Mail mit Link
- Dann ein Formular
- Dann lädt er in seinem Browser das Zertifikat runter und es ist gleich in Windows integriert.
- Dann muss Jemand ein Backup davon machen falls der PC Hops geht
Und das bei Usern die mir nach 1 Jahr O365 sagen, dass sie noch niemals eine 2FA-App benutzt hätten...
Stefan
Moin,
Gruß,
Dani
kennt Jemand einen Anbieter für sMIME-Zertifikate wo der Prozess komplett mit API abläuft ohne Zugriff auf das Postfach? Zum Beispiel nur per DNS-Eintrag?
geht eigentlich bei allen großen Anbietern - GlobalSign, Sectigo, SwissSign, TeleSec, etc.Gruß,
Dani
Zitat von @Dani:
Moin,
Bei Sectigo und SwissSign nicht.Moin,
kennt Jemand einen Anbieter für sMIME-Zertifikate wo der Prozess komplett mit API abläuft ohne Zugriff auf das Postfach? Zum Beispiel nur per DNS-Eintrag?
geht eigentlich bei allen großen Anbietern - GlobalSign, Sectigo, SwissSign, TeleSec, etc.Da bekommt der User 1 Mail mit der er sein Zertifikat abholen muss.
Macht im Prinzip ja auch Sinn. Nur nicht wenn man ein sMIME-Gateway betreiben möchte.
Zitat von @dertowa:
...damit kreiert man sich dann neue Probleme.
Der IT-Dienstleister unseres Steuerbüros hat darauf umgestellt, eben wegen der Archivierungs- unter Weiterleitungsthematik. Hat ein Zertifikat auf die kanzlei@ ausgestellt und war dann fertig damit.
Da wir nur von zwei Arbeitsplätzen an die Kanzlei senden, haben wir in Outlook integrierte Benutzerzertifikate dafür genutzt, was nun nicht mehr funktionierte.
A hatten wir den öffentlichen Schlüssel nicht und B als wir ihn hatten ging es nicht, da dieser für kanzlei@ eben nicht auf den Zielbenutzer ausgestellt war, die Kanzlei aber dennoch die Zustellung personalisiert wünschte.
Ende vom Lied die zwei Kolleginnen nutzen nun ein Hornet Mailgatewaylogin der Kanzlei und können dort nur auf eine Mail antworten, umständlich, nervig und irgendwie nicht im Sinne des Erfinders...
Grüße
ToWa
Zitat von @StefanKittel:
ich werfe noch Hornet-Security mit deren sMIME-Gateway mit ein.
Damit ist keine Ende-Zu-Ende-Verschlüsselung mehr, aber es löst einige Probleme.
- Keine Probleme mit Endgeräten (Ich hatte das immer mal wieder, dass Outlook irgenwas nicht signieren wollte)
ich werfe noch Hornet-Security mit deren sMIME-Gateway mit ein.
Damit ist keine Ende-Zu-Ende-Verschlüsselung mehr, aber es löst einige Probleme.
- Keine Probleme mit Endgeräten (Ich hatte das immer mal wieder, dass Outlook irgenwas nicht signieren wollte)
...damit kreiert man sich dann neue Probleme.
Der IT-Dienstleister unseres Steuerbüros hat darauf umgestellt, eben wegen der Archivierungs- unter Weiterleitungsthematik. Hat ein Zertifikat auf die kanzlei@ ausgestellt und war dann fertig damit.
Da wir nur von zwei Arbeitsplätzen an die Kanzlei senden, haben wir in Outlook integrierte Benutzerzertifikate dafür genutzt, was nun nicht mehr funktionierte.
A hatten wir den öffentlichen Schlüssel nicht und B als wir ihn hatten ging es nicht, da dieser für kanzlei@ eben nicht auf den Zielbenutzer ausgestellt war, die Kanzlei aber dennoch die Zustellung personalisiert wünschte.
Ende vom Lied die zwei Kolleginnen nutzen nun ein Hornet Mailgatewaylogin der Kanzlei und können dort nur auf eine Mail antworten, umständlich, nervig und irgendwie nicht im Sinne des Erfinders...
Grüße
ToWa
Das macht keinen Sinn oder es ist unverständlich.
Von zwei AP an die Kanzlei senden? Die Kanzlei ist extern?
Wozu Zertifikate in Outlook, wenn man das automatisiert über HS abwickelt? Egal von welchem Gerät du eine Mail sendest, die Mail wird signiert.
Erläutere doch mal euer Vorhaben
Da wir nur von zwei Arbeitsplätzen an die Kanzlei senden, haben wir in Outlook integrierte Benutzerzertifikate dafür genutzt, was nun nicht mehr funktionierte.
das Problem bei den Zertifikaten die man über Outlook 365 Exchange Online einfach so benutzen kann ist folgendes.
Diese werden im Azure AD hinterlegt, die Private Keys, nicht exportierbar - laut MS ein Security Feature....
ABER nun kommts.
Rechtlich ist man verpflichtet den EMail Verkehr 10 Jahre vorzuhalten (Stichwort Email Archivierung).
So und nun hast du die verschlüsselten Mails archiviert und alles gut.
Was passiert wenn ein User nach 5 Jahren kündigt, du ihn im Azure AD löscht bzw. Lizenz entfernst und dann nach 2 Jahren dannach auf die Emails zugreifen willst?
Richtig du kommst nie mehr an die Privaten Schlüssel ran und somit auch nicht an die Emails.
Klar du kannst den User (die Lizenz) deaktiviert aber mit aktivierter Lizenz dann noch 10 Jahre mitlaufen lassen....
Damit die Rechtlich im Sauberen Bereich bist. Schnäppchen...
Was ich damit sagen will, wenn jemand die MS Lösung so nutzt.... viel spass, wenns der Fall mal eintritt.
Ich hatte da dann sogar Gespräche mit MS Entwicklerteam die haben das nicht kapiet was Rechtlich Sache ist...
Somit haben wir am ende ein Email Gateway verwendet, bietet zwar keine Ende zu Ende Verschlüsselung aber immerhin rechtlich ok und administrativ auch (archiviert Private Keys auf der Virtuellen Appliance).....
Nachteil sind halt die kosten...
In der Praxis sind verschlüsselte E-Mails immer pain in the ass. Daher bin ich froh, das End-zu-End bei uns nicht gefordert ist sondern Client Server als vertrauenswürdig gilt. Bei uns gibt es ja auch noch die DATEV Smartcards, und die DATEV stellt die Schlüssel für E-Mail bereit wenn man dem nicht widerspricht. Dann kann man die Mails auch nur mit der physischen Karte lesen, und nur an bestimmten Endgeräten...
In der Archivierung und im DMS sollten die Sachen aus meiner Sicht immer unverschlüsselt liegen (also frei von personenbezogenen Schlüsseln). Es handelt sich ja schließlich auch um Unternehmensdaten, an denen das Unternehmen über die gesetzliche Archivierung hinaus ein Interesse hat.
In der Archivierung und im DMS sollten die Sachen aus meiner Sicht immer unverschlüsselt liegen (also frei von personenbezogenen Schlüsseln). Es handelt sich ja schließlich auch um Unternehmensdaten, an denen das Unternehmen über die gesetzliche Archivierung hinaus ein Interesse hat.
Ich beziehe meine Schlüssel auch bei PSW (so) und importiere sie auch immer in mein DMS (ELO), sodass auch bei Ablage verschlüsselter E-Mails die Lesbakeit dauerhaft erhalten bleibt (hoffe ich jedenfalls).
Moin,
Gruß.
Dani
Bei Sectigo und SwissSign nicht.
Bei Sectigo kann ich es nicht mehr prüfen. Da habe ich keine Kontakt mehr. Vor ca. 2 Jahren ging es als Firmenkunde noch. Bei SwissSign geht es nach wie vor. Vermutlich aber nicht als 0815 Kunde. Wir rufen dort jeden Tag mehrere dutzend Zertifikate ab.Gruß.
Dani
...es ist immer wieder schön zu sehen, wenn Threads einfach "geentert" werden und es am Ende überhaupt nicht mehr um das Thread-Thema geht, weil irgendwelche User mittendrin mit ihren eigenen Problemen ankommen, statt einen neuen Thread zu eröffnen (z.B. hier @StefanKittel)
Und es gab nicht mal mehr eine Reaktion auf meine letzte Nachricht / Info von vorgestern .
Naja... manche Dinge müssen einfach mal gesagt werden und mir ist auch egal, wenn jetzt wieder Alle hier über mich herfallen
Grüße von
Yan
Und es gab nicht mal mehr eine Reaktion auf meine letzte Nachricht / Info von vorgestern .
Naja... manche Dinge müssen einfach mal gesagt werden und mir ist auch egal, wenn jetzt wieder Alle hier über mich herfallen
Grüße von
Yan
Passiert, aber du hast doch auch keine Frage mehr gestellt? Und nun?
Grüße
Grüße
Moin,
Habe aber testweise einfach auch mal "Volksverschlüsselung" ausprobiert.
Danke für den Hinweis und schöne Restpfingsten.
Uwe
Habe aber testweise einfach auch mal "Volksverschlüsselung" ausprobiert.
Danke für den Hinweis und schöne Restpfingsten.
Uwe
