Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Grundsatzfrage zu Clientzertifikaten für Email

Mitglied: StefanKittel

StefanKittel (Level 4) - Jetzt verbinden

06.08.2011 um 16:52 Uhr, 4129 Aufrufe, 7 Kommentare

Hallo,
ich beschäftige mich gerade mit dem Thema "verschlüsselte Emails mit SMIME" für einzelne Kunden.
Also nicht als Gateway, sondern nur Clientzertifikate.
Basis soll ein OpenSSL Server unter Debian sein.

Aber was für ein Zertifikat benötige man dafür?
Ich möchte keines selber ausstellen, damit die Email-Programme der Empfänger die Zertifikate grundsätzlich als Zertrauenswürdig einstufen.

Für 99% Browser reicht ja schon ein Commodo Instant SSL für 30 Euro im Jahr.
Aber kann ich damit auch Client-Zertifikate für andere Domänen austellen?

Das Zertifikat lautet auf *.isp.de.
Und jetzt möchte ich gerne 30 Zertifikate für 30 Kunden mit 30 verschiedene Email-Adressen in 30 verschiedenen Domänen ausstellen.
benutzerA@firma1.de
benutzerB@firma2.de
benutzerC@firma3.de

Reicht es, wenn cert.isp.de Zertifiziert ist?

Ich hoffe das ist verständlich

Danke

Stefan
Mitglied: filippg
06.08.2011 um 20:23 Uhr
Hallo,

bei einem Zertifikat ist mit angegeben, wofür es verwendet werden darf. Mit Zertifikaten, die du normalerweise von TrustCentern bekommst, ist das signieren weiterer Zertifikate nicht möglich. Das hat einen gewissen Sinn: Sonst würden sich die CAs ja selbst ihr Geschäft kaputt machen. Außerdem wären Zertifikate dann gar nicht mehr vertrauenswürdig, jeder könnte beliebige ausstellen.
Manche CAs verkaufen auch Zertifikate, mit denen weitere ausgestellt werden können. Die Bedinungen & Preise dafür sind m.W. ziemlich hart. Aber frage doch mal bei http://www.globalsign.com/certificate-authority-root-signing/microsoft- ... ein Angebot an (und teile dann doch mal grobe Konditionen mit).

Gruß

Filipp
Bitte warten ..
Mitglied: StefanKittel
06.08.2011 um 20:54 Uhr
Hallo Filipp,

das macht Sinn.
Eine Anfrage beim Anbieter meines Vertrauens habe ich schon gestellt, aber da WE kommt da wohl erst Montag eine Antwort.

Dann sehe ich 3 Alternativen.

1) Für jede Domäne ein Zertifikat
Was für ein Zertifikat brauch ich denn dafür? Oder kann das jedes?

2) Eigenes CA root Zertifikat und alle müssen es einmal installieren
-> doof

3) Email-Adresse mit "meiner" Domäne
-> auch doof

Danke

Stefan
Bitte warten ..
Mitglied: filippg
06.08.2011 um 21:03 Uhr
Hallo,

1) Für jede Domäne ein Zertifikat
Was für ein Zertifikat brauch ich denn dafür? Oder kann das jedes?
Verstehe ich nicht. Es geht doch um S/MIME, oder? Dann brauchst du für jede EMail-Adresse ein Zertifikat.
Grundsätzlich gibt es für S/MIME auch etwas wie Domänenzertifikate. D.h. du signierst alle ausgehenden EMails mit dem gleichen Zertifikat/Public Key. Funktioniert aber mit Outlook nicht (bräuchtest also ein Gateway), akzeptieren potentiell nicht alle Clients und macht auch Probleme, wenn man verschlüsselte Mails empfangen will.

2) Eigenes CA root Zertifikat und alle müssen es einmal installieren
-> doof
Ja.

3) Email-Adresse mit "meiner" Domäne
-> auch doof
Meinst du damit die oben von mir beschriebene Variante mit Domänenzertifikat?

Gatewayprodukte haben meist auch Konnektoren zum Zertifikatsbezug bei großen Anbietern integriert. D.h. die Zeritifkate werden z.B. von Comodo ausgestellt (sind also vertrauenswürdig), aber es geht automatisiert.

Gruß

Filipp
Bitte warten ..
Mitglied: StefanKittel
06.08.2011 um 21:28 Uhr
Hallo Filipp,

1) ich kaufe für jede Kundendomäne ein einfaches günstiges Zertifikat. Wie z.B. Comodo Instant SSL.
Kann ich damit dann Zertifikate für benutzer1@kunden_domain.de, benutzer2@kunden_domain.de und benutzer3@kunden_domain.de erstellen?

3) Der Kunde verwendet statt benutzer1@kunden_domain.de dann benutzer1@meine_domain.de.
-> noch dööfer

Stefan
Bitte warten ..
Mitglied: filippg
07.08.2011 um 18:35 Uhr
Hallo,

1) ich kaufe für jede Kundendomäne ein einfaches günstiges Zertifikat. Wie z.B. Comodo Instant SSL.
Kann ich damit dann Zertifikate für benutzer1@kunden_domain.de, benutzer2@kunden_domain.de und benutzer3@kunden_domain.de
erstellen?
Nein. Siehe oben: "Mit Zertifikaten, die du normalerweise von TrustCentern bekommst, ist das signieren weiterer Zertifikate nicht möglich.".

3) Der Kunde verwendet statt benutzer1@kunden_domain.de dann benutzer1@meine_domain.de.
-> noch dööfer
Nochmal: "Es geht doch um S/MIME, oder? Dann brauchst du für jede EMail-Adresse ein Zertifikat.". Ein Zertifikat @kundendomain.de zu kaufen, und dann damit benutzer1@kundendomain.de und benutzer2@kundendomain zu erstellen geht nicht.

Gruß

Filipp
Bitte warten ..
Mitglied: StefanKittel
07.08.2011 um 21:15 Uhr
Hallo Filipp,

schade aber nachvollziehbar.

Danke

Stefan
Bitte warten ..
Mitglied: AndiEoh
24.10.2011 um 14:17 Uhr
Auch wenn das Ganze schon etwas älter ist...
Für S/MIME (Client Zertifikate) gibt es bei den unten aufgeführten Links zumindest für den "privatgebrauch" kostenlos (e-Mail validiert). Die root-CAs sind im Windows Zertifikat Store integriert (vertraut), d.h. damit signierte/verschlüsselte Mails sollten zumindest bei Windows zentrierten Empfängern keine Probleme bereiten.

http://www.trustcenter.de/products/tc_internet_id.htm
http://www.startssl.com/?app=1

Gruß

Andi
Bitte warten ..
Ähnliche Inhalte
E-Mail

Spam Email von unsere Info Email auf unsere Info Email ?

Frage von MS6800E-Mail5 Kommentare

Tag Zusammen, habe gestern eine E-Mail mit Anhang (Zip) von unsere Info Email Adresse an unsere E-mai Adresse bekommen. ...

Multimedia & Zubehör

Email Webcam

Frage von nachtfuchsMultimedia & Zubehör5 Kommentare

Hallo zusammen, ich habe von Aldi eine Maginon Webcam gekauft und relativ erfolgreich eingerichtet. Ich betriebe sie nun im ...

E-Mail

Email blockierung

Frage von xaver-2E-Mail3 Kommentare

Hallo ich würde gerne bei einem Outlook Konto alle E-mails die nach einer gewissen zeit eintreffen mit einer Nachricht ...

Rechtliche Fragen

Geschäftsführer Email gefaked

gelöst Frage von xbast1xRechtliche Fragen23 Kommentare

Hallo zusammen, derzeit werden vermehrt Fake E-Mails mit dem Alias unserer GSL verbreitet (mal mehr, mal weniger gut getarnt). ...

Neue Wissensbeiträge
Windows Server

Zähe Update-Installation auf Windows Server 2016

Information von kgborn vor 1 TagWindows Server4 Kommentare

Mir sind in der Vergangenheit immer wieder Beschwerden von Admins unter die Augen gekommen, die sich über die doch ...

Humor (lol)
Turnschuhe per Firmware lahmlegen
Information von Henere vor 1 TagHumor (lol)6 Kommentare

Und was kommt demnächst ? Bekomme ich kein Klopapier mehr, weil der Spender einem DDOS unterliegt ? :-) Ich ...

Sicherheit

Sicherheitsrisiko in WinRAR und Co. durch Schwachstelle in UNACEV2.DLL

Information von kgborn vor 1 TagSicherheit

In der seit 2005 nicht mehr aktualisierten Bibliothek UNACEV2.DLL gibt es eine Path-Traversal-Schwachstelle. Diese ermöglicht es, bei ACE-Archiven Dateien ...

Internet

CDU Propaganda: Urheberschutz im Internet - Ende des digitalen Wild-West

Information von Frank vor 2 TagenInternet6 Kommentare

Hallo Administratoren, aus einem Kommentar heraus habe ich folgenden Beiträge von Herr Sven Schulze und Axel Voss (beide CDU ...

Heiß diskutierte Inhalte
Hardware
Frage an Kenner von 5,25 Zoll Laufwerken
Frage von DerWoWussteHardware54 Kommentare

Moin Kollegen. Hier wird gerade im Archiv gewühlt und 5,25 Zoll Disketten ("2S/HD", 96TPI) sollen eingelesen werden. Ich habe ...

Windows Tools
Dateiname Automatisch auf PDF Klartext oder als Barcode abdrucken
Frage von spongebob24Windows Tools29 Kommentare

Hallo Zusammen, habe eine tolle Anforderung bekommen. Ich sollte auf mehrere PDF Dateien Automatisch einen Stempel anbringen lassen. Toll ...

Internet
SDSL oder ADSL - Preis-Leistungs-Verhältnis
Frage von ZeppelinInternet22 Kommentare

Wehrte Community, der Unterschied dieser beiden Techniken ist recht einfach erklärt. Das S, steht für Synchron (Gleich) und das ...

Microsoft Office
MicroSoft und seine Lizenzen
Frage von ZeppelinMicrosoft Office19 Kommentare

Wehrte Community, ich wende mich an die Community weil MicroSoft dazu keine Stellung nehmen möchte. Ich öffne mein Web-Browser ...