Grundsatzfrage zu Clientzertifikaten für Email
Hallo,
ich beschäftige mich gerade mit dem Thema "verschlüsselte Emails mit SMIME" für einzelne Kunden.
Also nicht als Gateway, sondern nur Clientzertifikate.
Basis soll ein OpenSSL Server unter Debian sein.
Aber was für ein Zertifikat benötige man dafür?
Ich möchte keines selber ausstellen, damit die Email-Programme der Empfänger die Zertifikate grundsätzlich als Zertrauenswürdig einstufen.
Für 99% Browser reicht ja schon ein Commodo Instant SSL für 30 Euro im Jahr.
Aber kann ich damit auch Client-Zertifikate für andere Domänen austellen?
Das Zertifikat lautet auf *.isp.de.
Und jetzt möchte ich gerne 30 Zertifikate für 30 Kunden mit 30 verschiedene Email-Adressen in 30 verschiedenen Domänen ausstellen.
benutzerA@firma1.de
benutzerB@firma2.de
benutzerC@firma3.de
Reicht es, wenn cert.isp.de Zertifiziert ist?
Ich hoffe das ist verständlich
Danke
Stefan
ich beschäftige mich gerade mit dem Thema "verschlüsselte Emails mit SMIME" für einzelne Kunden.
Also nicht als Gateway, sondern nur Clientzertifikate.
Basis soll ein OpenSSL Server unter Debian sein.
Aber was für ein Zertifikat benötige man dafür?
Ich möchte keines selber ausstellen, damit die Email-Programme der Empfänger die Zertifikate grundsätzlich als Zertrauenswürdig einstufen.
Für 99% Browser reicht ja schon ein Commodo Instant SSL für 30 Euro im Jahr.
Aber kann ich damit auch Client-Zertifikate für andere Domänen austellen?
Das Zertifikat lautet auf *.isp.de.
Und jetzt möchte ich gerne 30 Zertifikate für 30 Kunden mit 30 verschiedene Email-Adressen in 30 verschiedenen Domänen ausstellen.
benutzerA@firma1.de
benutzerB@firma2.de
benutzerC@firma3.de
Reicht es, wenn cert.isp.de Zertifiziert ist?
Ich hoffe das ist verständlich
Danke
Stefan
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 171042
Url: https://administrator.de/forum/grundsatzfrage-zu-clientzertifikaten-fuer-email-171042.html
Ausgedruckt am: 27.04.2025 um 16:04 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
bei einem Zertifikat ist mit angegeben, wofür es verwendet werden darf. Mit Zertifikaten, die du normalerweise von TrustCentern bekommst, ist das signieren weiterer Zertifikate nicht möglich. Das hat einen gewissen Sinn: Sonst würden sich die CAs ja selbst ihr Geschäft kaputt machen. Außerdem wären Zertifikate dann gar nicht mehr vertrauenswürdig, jeder könnte beliebige ausstellen.
Manche CAs verkaufen auch Zertifikate, mit denen weitere ausgestellt werden können. Die Bedinungen & Preise dafür sind m.W. ziemlich hart. Aber frage doch mal bei http://www.globalsign.com/certificate-authority-root-signing/microsoft- ... ein Angebot an (und teile dann doch mal grobe Konditionen mit).
Gruß
Filipp
bei einem Zertifikat ist mit angegeben, wofür es verwendet werden darf. Mit Zertifikaten, die du normalerweise von TrustCentern bekommst, ist das signieren weiterer Zertifikate nicht möglich. Das hat einen gewissen Sinn: Sonst würden sich die CAs ja selbst ihr Geschäft kaputt machen. Außerdem wären Zertifikate dann gar nicht mehr vertrauenswürdig, jeder könnte beliebige ausstellen.
Manche CAs verkaufen auch Zertifikate, mit denen weitere ausgestellt werden können. Die Bedinungen & Preise dafür sind m.W. ziemlich hart. Aber frage doch mal bei http://www.globalsign.com/certificate-authority-root-signing/microsoft- ... ein Angebot an (und teile dann doch mal grobe Konditionen mit).
Gruß
Filipp
Hallo Filipp,
das macht Sinn.
Eine Anfrage beim Anbieter meines Vertrauens habe ich schon gestellt, aber da WE kommt da wohl erst Montag eine Antwort.
Dann sehe ich 3 Alternativen.
1) Für jede Domäne ein Zertifikat
Was für ein Zertifikat brauch ich denn dafür? Oder kann das jedes?
2) Eigenes CA root Zertifikat und alle müssen es einmal installieren
-> doof
3) Email-Adresse mit "meiner" Domäne
-> auch doof
Danke
Stefan
das macht Sinn.
Eine Anfrage beim Anbieter meines Vertrauens habe ich schon gestellt, aber da WE kommt da wohl erst Montag eine Antwort.
Dann sehe ich 3 Alternativen.
1) Für jede Domäne ein Zertifikat
Was für ein Zertifikat brauch ich denn dafür? Oder kann das jedes?
2) Eigenes CA root Zertifikat und alle müssen es einmal installieren
-> doof
3) Email-Adresse mit "meiner" Domäne
-> auch doof
Danke
Stefan
Hallo,
Grundsätzlich gibt es für S/MIME auch etwas wie Domänenzertifikate. D.h. du signierst alle ausgehenden EMails mit dem gleichen Zertifikat/Public Key. Funktioniert aber mit Outlook nicht (bräuchtest also ein Gateway), akzeptieren potentiell nicht alle Clients und macht auch Probleme, wenn man verschlüsselte Mails empfangen will.
Gatewayprodukte haben meist auch Konnektoren zum Zertifikatsbezug bei großen Anbietern integriert. D.h. die Zeritifkate werden z.B. von Comodo ausgestellt (sind also vertrauenswürdig), aber es geht automatisiert.
Gruß
Filipp
1) Für jede Domäne ein Zertifikat
Was für ein Zertifikat brauch ich denn dafür? Oder kann das jedes?
Verstehe ich nicht. Es geht doch um S/MIME, oder? Dann brauchst du für jede EMail-Adresse ein Zertifikat.Was für ein Zertifikat brauch ich denn dafür? Oder kann das jedes?
Grundsätzlich gibt es für S/MIME auch etwas wie Domänenzertifikate. D.h. du signierst alle ausgehenden EMails mit dem gleichen Zertifikat/Public Key. Funktioniert aber mit Outlook nicht (bräuchtest also ein Gateway), akzeptieren potentiell nicht alle Clients und macht auch Probleme, wenn man verschlüsselte Mails empfangen will.
2) Eigenes CA root Zertifikat und alle müssen es einmal installieren
-> doof
Ja.-> doof
3) Email-Adresse mit "meiner" Domäne
-> auch doof
Meinst du damit die oben von mir beschriebene Variante mit Domänenzertifikat?-> auch doof
Gatewayprodukte haben meist auch Konnektoren zum Zertifikatsbezug bei großen Anbietern integriert. D.h. die Zeritifkate werden z.B. von Comodo ausgestellt (sind also vertrauenswürdig), aber es geht automatisiert.
Gruß
Filipp
Hallo Filipp,
1) ich kaufe für jede Kundendomäne ein einfaches günstiges Zertifikat. Wie z.B. Comodo Instant SSL.
Kann ich damit dann Zertifikate für benutzer1@kunden_domain.de, benutzer2@kunden_domain.de und benutzer3@kunden_domain.de erstellen?
3) Der Kunde verwendet statt benutzer1@kunden_domain.de dann benutzer1@meine_domain.de.
-> noch dööfer
Stefan
1) ich kaufe für jede Kundendomäne ein einfaches günstiges Zertifikat. Wie z.B. Comodo Instant SSL.
Kann ich damit dann Zertifikate für benutzer1@kunden_domain.de, benutzer2@kunden_domain.de und benutzer3@kunden_domain.de erstellen?
3) Der Kunde verwendet statt benutzer1@kunden_domain.de dann benutzer1@meine_domain.de.
-> noch dööfer
Stefan
Hallo,
Gruß
Filipp
1) ich kaufe für jede Kundendomäne ein einfaches günstiges Zertifikat. Wie z.B. Comodo Instant SSL.
Kann ich damit dann Zertifikate für benutzer1@kunden_domain.de, benutzer2@kunden_domain.de und benutzer3@kunden_domain.de
erstellen?
Nein. Siehe oben: "Mit Zertifikaten, die du normalerweise von TrustCentern bekommst, ist das signieren weiterer Zertifikate nicht möglich.".Kann ich damit dann Zertifikate für benutzer1@kunden_domain.de, benutzer2@kunden_domain.de und benutzer3@kunden_domain.de
erstellen?
3) Der Kunde verwendet statt benutzer1@kunden_domain.de dann benutzer1@meine_domain.de.
-> noch dööfer
Nochmal: "Es geht doch um S/MIME, oder? Dann brauchst du für jede EMail-Adresse ein Zertifikat.". Ein Zertifikat @kundendomain.de zu kaufen, und dann damit benutzer1@kundendomain.de und benutzer2@kundendomain zu erstellen geht nicht.-> noch dööfer
Gruß
Filipp
Hallo Filipp,
schade aber nachvollziehbar.
Danke
Stefan
schade aber nachvollziehbar.
Danke
Stefan
Auch wenn das Ganze schon etwas älter ist...
Für S/MIME (Client Zertifikate) gibt es bei den unten aufgeführten Links zumindest für den "privatgebrauch" kostenlos (e-Mail validiert). Die root-CAs sind im Windows Zertifikat Store integriert (vertraut), d.h. damit signierte/verschlüsselte Mails sollten zumindest bei Windows zentrierten Empfängern keine Probleme bereiten.
http://www.trustcenter.de/products/tc_internet_id.htm
http://www.startssl.com/?app=1
Gruß
Andi
Für S/MIME (Client Zertifikate) gibt es bei den unten aufgeführten Links zumindest für den "privatgebrauch" kostenlos (e-Mail validiert). Die root-CAs sind im Windows Zertifikat Store integriert (vertraut), d.h. damit signierte/verschlüsselte Mails sollten zumindest bei Windows zentrierten Empfängern keine Probleme bereiten.
http://www.trustcenter.de/products/tc_internet_id.htm
http://www.startssl.com/?app=1
Gruß
Andi
