derlenhart
Goto Top

Exchange Postfacher signieren durch Zertifikat

Zertifikat für Exchangeserver einrichten bzw. erwerben

Hallo,

ich suche jemanden derfit ist mit Zertifikaten. Wir haben einen Exchange 2007 Server und ich würde gerne Zertifikate für einige Emailadressen erstellen. Es gibt kostenlose Varianten (gpg4wi, aber noch nicht getestet) oder kostenpflichtige (z.B. Versign, als Trial getestet).

Meine Frage: Kann ich ein Serverzertifikat für eine Maildomäne (perterlustig.de) kaufen und dieses Zertifikat auf dem Exchange einspielen (oder an einer anderen Stelle in der Domäne, z.B. der Zertifizierungsstelle) und für die Maildomäne beliebig viele (natürlich bis das Zertifikat abläuft) Emailzertifikate ausstellen? Die Emaildomäne ist aber nicht gleich der Serverdomäne (beispiel: Windowsdomäne test.local - Maildomäne perstlustig.de)

Ich habe nur die Variante gefunden, jedem Client quasi einzeln die Zertifikate auszustellen. Je mehr User das nutzen, desto Komplexer wird die Neusignatur.

Kennst sich da jemand aus (vieleicht ein Turtorial?)

Schönen Gruß
derLenhart

Content-ID: 141073

Url: https://administrator.de/forum/exchange-postfacher-signieren-durch-zertifikat-141073.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

filippg
filippg 20.04.2010 um 23:02:55 Uhr
Goto Top
Hallo,

Es gibt kostenlose Varianten (gpg4wi, aber noch nicht getestet) oder kostenpflichtige (z.B. Versign, als Trial getestet).
Du vergleichst gerde Äpfel mit Birnen. Was man bei Verisign etc bekommt sind X.509-Zertifikate (das ist das selber Format wie für Server-SSL-Zertifikate) zur Verwendung mit S/MIME (das ist ein Standard zur Struktur/Formatierung von verschlüsselten Mails). gpg4win erstellen PGP-Schlüssel. Mit diesen kann man, wie auch mit den Zertifikaten, Mails verschlüsseln, die beiden sind aber nicht kompatibel. Außerdem sollen die X.509-Zertifikate zur Authentifizierung von Daten/Identifizierung von Absendern dienen, das ist genau das, wofür Verisign etc Geld verlangen: Wenn sie dir ein Zertifikat verkaufen prüfen sie (theoretisch...) deine Identitiät bzw. stellen sicher, dass dir die Adresse abc@xyz.de wirklich gehört. Umgekehrt: Wenn ein Empfänger eine signierte Mail von abc@xyz.de bekommt kann er sich sicher sein, dass der Absender nicht gefälscht ist (Mailabsender kann man ansonsten quasi beliebig fälschen). Voraussetzung: Er vertraut Verisign. Hier kommt der Knackpunkt bei den selbsterstellten Zertifikaten (wie oben beschrieben nicht mit gpg4win, aber mit anderen OpenSource-Produkten wie OpenSSL): Du kannst zwar schreiben, dass du Schorsch.Busch@whitehouse.gov bist, aber dir wird kein Mensch glauben. Daher kann man mit selbsterstellten Zertifikaten zwar Mails verschlüsseln, aber wenn der Empfänger dich nicht extra als vertrauneswürdig einstuft wird es bezüglich deiner Identität jedesmal eine Warnmeldung geben.

dieses Zertifikat auf dem Exchange einspielen (oder an einer anderen Stelle in der Domäne, z.B. der Zertifizierungsstelle) und für die Maildomäne beliebig viele (natürlich bis das Zertifikat abläuft) Emailzertifikate ausstellen?
Theoretisch ja. X.509-Zertifikate können eine Chain of Trust bilden. Damit könnte dir etwa Verisign ein Zertifikat verkaufen, mit dem du deine Zertifikate erstellen kannst. Und jeder würde die von dir erstellen für genau so vertrauenswürdig halten, als kämen sie von Verisign selbst. Da liegt auch schon der Knackpunkt: Nach kurzer Zeit würde niemand mehr Verisign für Vertrauenswürdig halten. Daher wirst du ein solches Zertifikat nur unter ziemlich harten Randbedingungen erhalten.

Mein Gott, ich komme ins schwafeln. Abbruch hier. Guten Link habe ich nicht parat, meine aber da sehr brauchbare in der Linksammlung hier auf der Site gesehen zu haben.

Gruß

Filipp
derLenhart
derLenhart 21.04.2010 um 21:26:18 Uhr
Goto Top
Hallo, das hat mir aber schon auf jeden Fall gehollen. Es wäre ein Root-Zertifikat, welches ich quasi suche. Da ich damit aber wohl "beliebig" viele eigene Zertifikate ausstellen könnte, wäre dies wohl auch recht teuer. Hast Du mal eine ungefähre Hausnummer gehört?

Für mich ist das alles noch böhmliche Wälder. Klar: Ich habe mal ein paar Webserver-SSL Zertifikat gekauft oder eine eigene SSL Zertifizierung mit openSSL ausgestellt, jedoch fehlt die Vertrauenswürdigtkeit beim letzteren.

schönen gruß