kl3vb45
Aug 11, 2019
view2637
view9
0
Goto Top

Domainzertifikat Problem

GermansolvedQuestionEncryption, CertificatesSecurity
Hallo Community,
ich habe mal eine Frage zu folgendem Fall:

Zwei Unternehmen wollen eine E-Mail-Verschlüsselung untereinander via S/MIME.
Admin 1 von Unternehmen 1 kauft für jede E-Mail-Adresse der Firma ein Zertifikat von Globalsign und schickt dieses zu Admin 2 im Unternehmen 2. Bislang hat Admin 2 von Unternehmen 2 das auch so gemacht, jetzt allerdings hat Admin 2 ein Domainzertifikat bestellt um nicht für jede E-Mail-Adresse ein eigenes Zertifikat bestellen zu müssen. Admin 1 verschickt seine E-Mails über das Programm Thunderbird und hat das Domainzertifikat auch bei Thunderbird unter Personen eingespielt, da dieses Zertifikat aber nur eine E-Mail als Besitzer hat, kann Admin 1 auch nur an diese eine E-Mail verschlüsselt senden, bei allen anderen E-Mail-Adressen kommt der Fehler, dass keine Zertifikate für diese E-Mail existiert. Wie kann man das Problem am einfachsten lösen?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 484362

Url: https://administrator.de/contentid/484362

Printed on: April 20, 2024 at 02:04 o'clock

9 Comments
Latest comment
Goto Top
Member: cykes
cykes Aug 11, 2019 at 08:39:47 (UTC)
Goto Top
Hallo,


Zitat von @Kl3vb45:

[...] jetzt allerdings hat Admin 2 ein Domainzertifikat bestellt [...]
Was für ein Zertifikat wurde genau bestellt? Mit einem Wildcard bspw. funktioniert das so nicht, da es nicht für S/MIME Signierung/Verschlüsselung gedacht ist. Dann tritt genau der beschriebene Effekt ein.

Wie kann man das Problem am einfachsten lösen?
Admin2 muss die korrekten Zertifikate kaufen. Zusätzlich können die Zertifikate in einer eigenen PKI verwaltet werden, einige Anbieter - wie bspw. Globalsign - bieten dafür Managed PKI an(vgl. >hier<, dort kann man die Zertifikate selbst ausstellen und verwalten, das ganze lässt sich dann auch noch ans lokale AD andocken zur Verteilung der S/MIME Zertifikate. Das lohnt sich aber erst bei einer entsprechend größeren Umgebung, bei bspw. 10 oder 20 Benutzern ist die einzelne Bestellerei zwar sicher nervig, aber der einfachere Weg.

Gruß

cykes
heart1
Member: cykes
cykes Aug 11, 2019 at 09:24:37 (UTC)
Goto Top
...anders ausgedrückt: es wäre ja auch - harmlos ausgedrückt - kontraproduktiv, wenn alle Benutzer an Standort 2 das gleiche Zertifikat für die Verschlüsselung verwenden würden. Da braucht schon jede Mailadresse ihr eigenes Zertifikat.
heart1
Member: Kl3vb45
Kl3vb45 Aug 11, 2019 at 09:38:29 (UTC)
Goto Top
Hallo Cykes, vielen Dank erstmal für die Antworten. Also gehe ich richtig in der Annahme , dass ein S/MIME Zertifikat nur für eine E-Mail-Adresse ausgestellt werden kann und das Multidomain- und Wilcardzertifikate alleine für die SSL-Verschlüsselung von Webseiten gedacht sind?
Member: cykes
cykes Aug 11, 2019 at 10:18:35 (UTC)
Goto Top
Zitat von @Kl3vb45:

Also gehe ich richtig in der Annahme , dass ein S/MIME Zertifikat nur für eine E-Mail-Adresse ausgestellt werden kann und das Multidomain- und Wilcardzertifikate alleine für die SSL-Verschlüsselung von Webseiten gedacht sind?
Wildcards laufen ja auch auf den Namen *.domain.tld und nicht auf *@domain.tld (die gibt es entsprechend auch nicht), bezüglich Mail sind diese nur noch mailserverseitig für Transportverschlüsselung (TLS) verwendbar. Ansonsten benötigt für die Ende-Zu-Ende-Verschlüsselung via S/MIME natürlich jedes Postfach sein eigenes Zertifikat. Das muss dann auch auf sämtlichen von dem jeweiligen Benutzer genutzen Geräten eingebunden werden. Ansonsten könnte ja jeder Benutzer an Standort 2 die verschlüsselten Mails lesen.

Ob eine Transportverschlüsselung ausreichend ist, können nur die beiden involvierten Standorte bzw. "Mailer" entscheiden. Das kommt auf den Mailinhalt und die Sicherheitsanforderungen an. Noch komplizierter wird es bei S/MIME wenn die Postfächer (temporär) freigegeben werden (müssen), das persönliche Zertifikat sollte man nicht aus der Hand geben.
Ggf. kann man auch aus eine entsprechende Mail-Security-Appliance zurückgreifen, die die Verwaltung etwas vereinfacht.
heart1
Member: Kl3vb45
Kl3vb45 Aug 11, 2019 at 11:46:31 (UTC)
Goto Top
Also ich hab mich eben noch mal schlau gemacht und dabei ist herausgekommen, dass Admin 2 ein Verschlüsselungsgateway(Virtuelle Posstelle), welches anscheinend die E-Mails verteilt, benutzt und Admin 1 nur das Gatewayzertifikat gegeben hat. So soll keine end-to-end, sondern eine gateway-to-gateway kommunikation erreicht werden. Gibt's da keine Möglichkeit vom Benutzer zum Gateway zu schreiben, ohne eine extrem teure Gatewaylösung zu kaufen?
Member: cykes
cykes Aug 11, 2019 at 12:07:33 (UTC)
Goto Top
Zitat von @Kl3vb45:

Gibt's da keine Möglichkeit vom Benutzer zum Gateway zu schreiben, ohne eine extrem teure Gatewaylösung zu kaufen?
Die gibt es sicher schon, dazu bräuchten wir aber ein paar zusätzliche Informationen:
  • Hat Unternehmen 1 (also vermutlich Deins ;)) einen eigenen Mailserver lokal installiert oder gehen die ausgehenden Mails über den Mailserver des Domain-Anbieters/Hosters bzw. Providers raus?
  • Das Verschlüsselungsgateway bei Unternehmen 2 setzt nur Transportverchlüsselung ein oder signiert/verschlüsselt es die Mails mit S/MIME, wobei die passenden Zertifikate dann auf dem Gateway pro Benutzer hinterlegt sind?
  • Hast Du auch die Information bekommen, um welches Gateway es sich genau handelt, dann kann man mal recherchieren, wie das genau umgesetzt ist. Es gibt näm,lich durchaus auch noch weitere Ansätze zum Thema Mailverschlüsselung.
Member: Kl3vb45
Kl3vb45 Aug 11, 2019 at 13:02:06 (UTC)
Goto Top
  • Das Unternehmen 1 hat einen lokalen Mailserver.

  • Eigentlich hat das gesamte Unternehmen 2 S/MIME Verschlüsselung, und würde mich auch wundern wenndem jetzt auf einmal nicht mehr so wäre.

  • Leider nicht, da war nur ein Gateway-Zertifikat und es hieß, das wäre für alle *@Domain.de Adressen gültig.
Member: Kl3vb45
Kl3vb45 Aug 11, 2019 at 14:05:38 (UTC)
Goto Top
Würde es reichen, wenn die Benutzer des Unternehmens 2 mir eine signierte und verschlüsselte Nachricht schicken? Damit müsste ich doch den öffentlichen Schlüssel von der jeweiligen Benutzer E-Mail erhalten. Oder kann ich das Gateway-Zertifikat auf den Mailserver legen?
Member: cykes
Solution cykes Aug 11, 2019 updated at 15:13:02 (UTC)
Goto Top
Zitat von @Kl3vb45:

  • Das Unternehmen 1 hat einen lokalen Mailserver.
Dann steht der Transportverschlüsselung diesbezüglich ja nichts im Wege, gültiges TLS-Zertifikat und entsprechende Konfiguration vorausgesetzt.
* Eigentlich hat das gesamte Unternehmen 2 S/MIME Verschlüsselung, und würde mich auch wundern wenndem jetzt auf einmal nicht mehr so wäre.
Was passiert denn, wenn ein Benutzer aus Unternehmen 2 eine Mail an einen Benutzer aus Unternehmen 1 schreibt, kommt diese signiert mit einem S/MIME-Zertifikat an oder nicht?
* Leider nicht, da war nur ein Gateway-Zertifikat und es hieß, das wäre für alle *@Domain.de Adressen gültig.
Dann hat admin2 entweder keine Ahnung oder die "Virtuelle Posstelle" (ist damit das Produkt vom BSI bzw. Bund gemeint? -> https://de.wikipedia.org/wiki/Virtuelle_Poststelle oder gar beA bzw. EGVP?) nicht komplett verstanden. Das Gateway-Zertifikat brauchst Du i.d.R. nicht, das handeln die Mailserver via TLS unter sich aus, sofern der MX-Eintrag im DNS von domain2 korrekt gesetzt ist. Das Gateway-Zertifikat hat auch wenig mit den Postfächern *@domain2.de zu tun. Das dürfte darin getrennt behandelt werden oder auf Clientseite.
Auf jeden Fall bekommt man als externer keinen Zugriff auf EGVP bzw. beA.
heart1
GermansolvedQuestionEncryption, CertificatesSecurity
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment