Grundsatzfrage zu Clientzertifikaten für Email

Mitglied: StefanKittel

StefanKittel (Level 5) - Jetzt verbinden

06.08.2011 um 16:52 Uhr, 4195 Aufrufe, 7 Kommentare

Hallo,
ich beschäftige mich gerade mit dem Thema "verschlüsselte Emails mit SMIME" für einzelne Kunden.
Also nicht als Gateway, sondern nur Clientzertifikate.
Basis soll ein OpenSSL Server unter Debian sein.

Aber was für ein Zertifikat benötige man dafür?
Ich möchte keines selber ausstellen, damit die Email-Programme der Empfänger die Zertifikate grundsätzlich als Zertrauenswürdig einstufen.

Für 99% Browser reicht ja schon ein Commodo Instant SSL für 30 Euro im Jahr.
Aber kann ich damit auch Client-Zertifikate für andere Domänen austellen?

Das Zertifikat lautet auf *.isp.de.
Und jetzt möchte ich gerne 30 Zertifikate für 30 Kunden mit 30 verschiedene Email-Adressen in 30 verschiedenen Domänen ausstellen.
benutzerA@firma1.de
benutzerB@firma2.de
benutzerC@firma3.de

Reicht es, wenn cert.isp.de Zertifiziert ist?

Ich hoffe das ist verständlich :-) face-smile

Danke

Stefan
Mitglied: filippg
06.08.2011 um 20:23 Uhr
Hallo,

bei einem Zertifikat ist mit angegeben, wofür es verwendet werden darf. Mit Zertifikaten, die du normalerweise von TrustCentern bekommst, ist das signieren weiterer Zertifikate nicht möglich. Das hat einen gewissen Sinn: Sonst würden sich die CAs ja selbst ihr Geschäft kaputt machen. Außerdem wären Zertifikate dann gar nicht mehr vertrauenswürdig, jeder könnte beliebige ausstellen.
Manche CAs verkaufen auch Zertifikate, mit denen weitere ausgestellt werden können. Die Bedinungen & Preise dafür sind m.W. ziemlich hart. Aber frage doch mal bei http://www.globalsign.com/certificate-authority-root-signing/microsoft- ... ein Angebot an (und teile dann doch mal grobe Konditionen mit).

Gruß

Filipp
Bitte warten ..
Mitglied: StefanKittel
06.08.2011 um 20:54 Uhr
Hallo Filipp,

das macht Sinn.
Eine Anfrage beim Anbieter meines Vertrauens habe ich schon gestellt, aber da WE kommt da wohl erst Montag eine Antwort.

Dann sehe ich 3 Alternativen.

1) Für jede Domäne ein Zertifikat
Was für ein Zertifikat brauch ich denn dafür? Oder kann das jedes?

2) Eigenes CA root Zertifikat und alle müssen es einmal installieren
-> doof

3) Email-Adresse mit "meiner" Domäne
-> auch doof

Danke

Stefan
Bitte warten ..
Mitglied: filippg
06.08.2011 um 21:03 Uhr
Hallo,

1) Für jede Domäne ein Zertifikat
Was für ein Zertifikat brauch ich denn dafür? Oder kann das jedes?
Verstehe ich nicht. Es geht doch um S/MIME, oder? Dann brauchst du für jede EMail-Adresse ein Zertifikat.
Grundsätzlich gibt es für S/MIME auch etwas wie Domänenzertifikate. D.h. du signierst alle ausgehenden EMails mit dem gleichen Zertifikat/Public Key. Funktioniert aber mit Outlook nicht (bräuchtest also ein Gateway), akzeptieren potentiell nicht alle Clients und macht auch Probleme, wenn man verschlüsselte Mails empfangen will.

2) Eigenes CA root Zertifikat und alle müssen es einmal installieren
-> doof
Ja.

3) Email-Adresse mit "meiner" Domäne
-> auch doof
Meinst du damit die oben von mir beschriebene Variante mit Domänenzertifikat?

Gatewayprodukte haben meist auch Konnektoren zum Zertifikatsbezug bei großen Anbietern integriert. D.h. die Zeritifkate werden z.B. von Comodo ausgestellt (sind also vertrauenswürdig), aber es geht automatisiert.

Gruß

Filipp
Bitte warten ..
Mitglied: StefanKittel
06.08.2011 um 21:28 Uhr
Hallo Filipp,

1) ich kaufe für jede Kundendomäne ein einfaches günstiges Zertifikat. Wie z.B. Comodo Instant SSL.
Kann ich damit dann Zertifikate für benutzer1@kunden_domain.de, benutzer2@kunden_domain.de und benutzer3@kunden_domain.de erstellen?

3) Der Kunde verwendet statt benutzer1@kunden_domain.de dann benutzer1@meine_domain.de.
-> noch dööfer

Stefan
Bitte warten ..
Mitglied: filippg
07.08.2011 um 18:35 Uhr
Hallo,

1) ich kaufe für jede Kundendomäne ein einfaches günstiges Zertifikat. Wie z.B. Comodo Instant SSL.
Kann ich damit dann Zertifikate für benutzer1@kunden_domain.de, benutzer2@kunden_domain.de und benutzer3@kunden_domain.de
erstellen?
Nein. Siehe oben: "Mit Zertifikaten, die du normalerweise von TrustCentern bekommst, ist das signieren weiterer Zertifikate nicht möglich.".

3) Der Kunde verwendet statt benutzer1@kunden_domain.de dann benutzer1@meine_domain.de.
-> noch dööfer
Nochmal: "Es geht doch um S/MIME, oder? Dann brauchst du für jede EMail-Adresse ein Zertifikat.". Ein Zertifikat @kundendomain.de zu kaufen, und dann damit benutzer1@kundendomain.de und benutzer2@kundendomain zu erstellen geht nicht.

Gruß

Filipp
Bitte warten ..
Mitglied: StefanKittel
07.08.2011 um 21:15 Uhr
Hallo Filipp,

schade aber nachvollziehbar.

Danke

Stefan
Bitte warten ..
Mitglied: AndiEoh
24.10.2011 um 14:17 Uhr
Auch wenn das Ganze schon etwas älter ist...
Für S/MIME (Client Zertifikate) gibt es bei den unten aufgeführten Links zumindest für den "privatgebrauch" kostenlos (e-Mail validiert). Die root-CAs sind im Windows Zertifikat Store integriert (vertraut), d.h. damit signierte/verschlüsselte Mails sollten zumindest bei Windows zentrierten Empfängern keine Probleme bereiten.

http://www.trustcenter.de/products/tc_internet_id.htm
http://www.startssl.com/?app=1

Gruß

Andi
Bitte warten ..
Heiß diskutierte Inhalte
Microsoft
Mitteilung an alle bei Störungen in der IT
gelöst David.B2D45Vor 1 TagFrageMicrosoft31 Kommentare

Hallo Forum, ich bin auf der Suche nach einem Programm / Tool mit dem ich Text (Laufschrift) auf allen (gewünschten) PC's / Benutzer im ...

Exchange Server
Exchange Zero Day Hack - Wie entfernen?
gelöst mtaiitVor 12 StundenFrageExchange Server18 Kommentare

Hallo, bei mir hat es einige Kundenserver getroffen Weiß einer wie ich diese WebShells wieder loswerde? Das löschen der betroffenen .aspx Dateien wird wohl ...

E-Mail
Kann man mit SPF Mails für eine Domäne vollständig verbieten?
gelöst StefanKittelVor 1 TagFrageE-Mail17 Kommentare

Hallo, viele Firmen haben ja zusätzliche Domänen. Als Web- und oder Mail-weiterleitung. Es werden also niemals Emails damit gesendet werden. kann man mit einem ...

Server-Hardware
Firmware-Updates auf Servern
redhorseVor 1 TagFrageServer-Hardware7 Kommentare

Guten Morgen, die Server-Hersteller stellen bekanntlich regelmäßig Firmware- und Treiberupdates für deren Serverhardware bereit, diese können z.B. bei Dell als Dell EMC Server Update ...

Linux
Windows auf Dualbootrechner entfernen und Linux die komplette Platte zur Verfügung stellen
N8chtfalterVor 1 TagFrageLinux6 Kommentare

Hallo Linux Profis, ich habe einen Laptop auf dem ursprünglichen Windows 10 installiert war, und ist, ich habe vor einem Jahr Ubuntu testhalber als ...

Router & Routing
Routing öffentliche IP-Adresse-Traffic per BGP im internal-Network
gelöst jescheroVor 23 StundenFrageRouter & Routing2 Kommentare

Guten Abend alle zusammen, ich habe ein kleines Problem beim Routing in pfSense. Mein aktuelles Aufbau ist folgenden: Ich habe eine pfSense-VM und zwei ...

Windows Server
Domänenadmin kann kein Zertifikat anfordern
noodellsVor 1 TagFrageWindows Server6 Kommentare

Hallo Zusammen, ich habe ein Problem beim Finden einer Einstellung. Zuerst einmal der Stand: Es gibt eine Windows CA und Domaincontroller und alles funktionierte ...

Exchange Server
Windows Server 2019 + Exchange Server 2019 (Probleme mit Pop3)
gelöst aristonVor 1 TagFrageExchange Server4 Kommentare

Hallo zusammen, ich habe gerade angefangen, mit dem Exchange Server 2019 in der Demoversion zu arbeiten und folge Schritt für Schritt bei der notwendigen ...