Exchange Postfacher signieren durch Zertifikat
Zertifikat für Exchangeserver einrichten bzw. erwerben
Hallo,
ich suche jemanden derfit ist mit Zertifikaten. Wir haben einen Exchange 2007 Server und ich würde gerne Zertifikate für einige Emailadressen erstellen. Es gibt kostenlose Varianten (gpg4wi, aber noch nicht getestet) oder kostenpflichtige (z.B. Versign, als Trial getestet).
Meine Frage: Kann ich ein Serverzertifikat für eine Maildomäne (perterlustig.de) kaufen und dieses Zertifikat auf dem Exchange einspielen (oder an einer anderen Stelle in der Domäne, z.B. der Zertifizierungsstelle) und für die Maildomäne beliebig viele (natürlich bis das Zertifikat abläuft) Emailzertifikate ausstellen? Die Emaildomäne ist aber nicht gleich der Serverdomäne (beispiel: Windowsdomäne test.local - Maildomäne perstlustig.de)
Ich habe nur die Variante gefunden, jedem Client quasi einzeln die Zertifikate auszustellen. Je mehr User das nutzen, desto Komplexer wird die Neusignatur.
Kennst sich da jemand aus (vieleicht ein Turtorial?)
Schönen Gruß
derLenhart
Hallo,
ich suche jemanden derfit ist mit Zertifikaten. Wir haben einen Exchange 2007 Server und ich würde gerne Zertifikate für einige Emailadressen erstellen. Es gibt kostenlose Varianten (gpg4wi, aber noch nicht getestet) oder kostenpflichtige (z.B. Versign, als Trial getestet).
Meine Frage: Kann ich ein Serverzertifikat für eine Maildomäne (perterlustig.de) kaufen und dieses Zertifikat auf dem Exchange einspielen (oder an einer anderen Stelle in der Domäne, z.B. der Zertifizierungsstelle) und für die Maildomäne beliebig viele (natürlich bis das Zertifikat abläuft) Emailzertifikate ausstellen? Die Emaildomäne ist aber nicht gleich der Serverdomäne (beispiel: Windowsdomäne test.local - Maildomäne perstlustig.de)
Ich habe nur die Variante gefunden, jedem Client quasi einzeln die Zertifikate auszustellen. Je mehr User das nutzen, desto Komplexer wird die Neusignatur.
Kennst sich da jemand aus (vieleicht ein Turtorial?)
Schönen Gruß
derLenhart
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 141073
Url: https://administrator.de/forum/exchange-postfacher-signieren-durch-zertifikat-141073.html
Ausgedruckt am: 22.12.2024 um 19:12 Uhr
2 Kommentare
Neuester Kommentar
Hallo,
Mein Gott, ich komme ins schwafeln. Abbruch hier. Guten Link habe ich nicht parat, meine aber da sehr brauchbare in der Linksammlung hier auf der Site gesehen zu haben.
Gruß
Filipp
Es gibt kostenlose Varianten (gpg4wi, aber noch nicht getestet) oder kostenpflichtige (z.B. Versign, als Trial getestet).
Du vergleichst gerde Äpfel mit Birnen. Was man bei Verisign etc bekommt sind X.509-Zertifikate (das ist das selber Format wie für Server-SSL-Zertifikate) zur Verwendung mit S/MIME (das ist ein Standard zur Struktur/Formatierung von verschlüsselten Mails). gpg4win erstellen PGP-Schlüssel. Mit diesen kann man, wie auch mit den Zertifikaten, Mails verschlüsseln, die beiden sind aber nicht kompatibel. Außerdem sollen die X.509-Zertifikate zur Authentifizierung von Daten/Identifizierung von Absendern dienen, das ist genau das, wofür Verisign etc Geld verlangen: Wenn sie dir ein Zertifikat verkaufen prüfen sie (theoretisch...) deine Identitiät bzw. stellen sicher, dass dir die Adresse abc@xyz.de wirklich gehört. Umgekehrt: Wenn ein Empfänger eine signierte Mail von abc@xyz.de bekommt kann er sich sicher sein, dass der Absender nicht gefälscht ist (Mailabsender kann man ansonsten quasi beliebig fälschen). Voraussetzung: Er vertraut Verisign. Hier kommt der Knackpunkt bei den selbsterstellten Zertifikaten (wie oben beschrieben nicht mit gpg4win, aber mit anderen OpenSource-Produkten wie OpenSSL): Du kannst zwar schreiben, dass du Schorsch.Busch@whitehouse.gov bist, aber dir wird kein Mensch glauben. Daher kann man mit selbsterstellten Zertifikaten zwar Mails verschlüsseln, aber wenn der Empfänger dich nicht extra als vertrauneswürdig einstuft wird es bezüglich deiner Identität jedesmal eine Warnmeldung geben.dieses Zertifikat auf dem Exchange einspielen (oder an einer anderen Stelle in der Domäne, z.B. der Zertifizierungsstelle) und für die Maildomäne beliebig viele (natürlich bis das Zertifikat abläuft) Emailzertifikate ausstellen?
Theoretisch ja. X.509-Zertifikate können eine Chain of Trust bilden. Damit könnte dir etwa Verisign ein Zertifikat verkaufen, mit dem du deine Zertifikate erstellen kannst. Und jeder würde die von dir erstellen für genau so vertrauenswürdig halten, als kämen sie von Verisign selbst. Da liegt auch schon der Knackpunkt: Nach kurzer Zeit würde niemand mehr Verisign für Vertrauenswürdig halten. Daher wirst du ein solches Zertifikat nur unter ziemlich harten Randbedingungen erhalten.Mein Gott, ich komme ins schwafeln. Abbruch hier. Guten Link habe ich nicht parat, meine aber da sehr brauchbare in der Linksammlung hier auf der Site gesehen zu haben.
Gruß
Filipp