12
S MIME Zertifikat aus AD in Outlook einbinden
Hallo zusammen,
in einer Umgebung, in der die Benutzer auf mehreren Terminalservern Outlook benutzen möchte ich Mailverschlüsselung mit S/MIME umsetzen.
Zu diesem Zweck habe ich mir überlegt die Benutzerzertifikate inkl. Private Key im AD zu hinterlegen. Dazu habe ich das Zertifikat eines Testbenutzers am Benutzer unter "Veröffentlichte Zertifikate" hinzugefügt.
Nun ist aber die Frage, wie ich dieses Zertifikat auch in Outlook einbinden kann. Im TrustCenter taucht es nicht auf, das scheint nur im normalen Zertifikatsspeicher zu schauen.
Wie mache ich meinem Outlook nun klar, das Zertifikat aus dem AD zu verwenden?
Beste Grüße
Christoph
in einer Umgebung, in der die Benutzer auf mehreren Terminalservern Outlook benutzen möchte ich Mailverschlüsselung mit S/MIME umsetzen.
Zu diesem Zweck habe ich mir überlegt die Benutzerzertifikate inkl. Private Key im AD zu hinterlegen. Dazu habe ich das Zertifikat eines Testbenutzers am Benutzer unter "Veröffentlichte Zertifikate" hinzugefügt.
Nun ist aber die Frage, wie ich dieses Zertifikat auch in Outlook einbinden kann. Im TrustCenter taucht es nicht auf, das scheint nur im normalen Zertifikatsspeicher zu schauen.
Wie mache ich meinem Outlook nun klar, das Zertifikat aus dem AD zu verwenden?
Beste Grüße
Christoph
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 349487
Url: https://administrator.de/contentid/349487
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
12 Kommentare
Neuester Kommentar
Hi,
das ist logisch. Mit AD kannst Du das Zertifikat nur allgemein an das Benutzerprofil verteilen. Das landet dann im Zertifikatspeicher des Benutzers unter "eigene Zertifikate".
Ins Outlook muss man das entweder manuell konfigurieren oder per Script bzw. VBA.
E.
das ist logisch. Mit AD kannst Du das Zertifikat nur allgemein an das Benutzerprofil verteilen. Das landet dann im Zertifikatspeicher des Benutzers unter "eigene Zertifikate".
Ins Outlook muss man das entweder manuell konfigurieren oder per Script bzw. VBA.
E.
Hi,
Soweit hatte ich das schon verstanden. Ich sehe aber gerade, dass unter "Zertifikate - Aktueller Benutzer" -> "Eigene Zertifikate" kein Zertifikat auftaucht obwohl ich es unter den veröfftentlichten Zertifikaten am AD-Benutzer-Objekt hinzugefügt habe.
Ist es so, dass sie daraufhin im Zertifikatsspeicher auftauchen sollten? Oder ist dafür noch ein weiterer Schritt nötig?
In Outlook muss man sie manuell hinzufügen, das ist mir bewusst.
Soweit hatte ich das schon verstanden. Ich sehe aber gerade, dass unter "Zertifikate - Aktueller Benutzer" -> "Eigene Zertifikate" kein Zertifikat auftaucht obwohl ich es unter den veröfftentlichten Zertifikaten am AD-Benutzer-Objekt hinzugefügt habe.
Ist es so, dass sie daraufhin im Zertifikatsspeicher auftauchen sollten? Oder ist dafür noch ein weiterer Schritt nötig?
In Outlook muss man sie manuell hinzufügen, das ist mir bewusst.
Soweit hatte ich das schon verstanden. Ich sehe aber gerade, dass unter "Zertifikate - Aktueller Benutzer" -> "Eigene Zertifikate" kein Zertifikat auftaucht obwohl ich es unter den veröfftentlichten Zertifikaten am AD-Benutzer-Objekt hinzugefügt habe.
Ist es so, dass sie daraufhin im Zertifikatsspeicher auftauchen sollten? Oder ist dafür noch ein weiterer Schritt nötig?
Ach so, DAS ist das Problem.Ist es so, dass sie daraufhin im Zertifikatsspeicher auftauchen sollten? Oder ist dafür noch ein weiterer Schritt nötig?
Benutzer danach neu angemeldet?
AD-Replikation funktioniert? (Der Anmelde-DC des Benutzers hat diese Änderung übernommen?)
Am Rande: Das Zertifikat der austellenden CA muss per GPO auch auf diesen Computer verteilt werden.
Klar neu angemeldet. AD-Replikation funktioniert auch.
Das Root-Zertifikat habe ich per Hand auf der Testmaschine installiert. Das sollte doch genügen, oder? Selbst wenn es nicht da wäre, würde das dazu führen, dass das Benutzerzertifikat nicht importiert wird? Oder würde diesem nur nicht vertraut werden?
Trotzdem habe ich nichts in meinem Zertifikatsspeicher. Auch das Eventlog am Client sagt nichts dazu.
Das Root-Zertifikat habe ich per Hand auf der Testmaschine installiert. Das sollte doch genügen, oder? Selbst wenn es nicht da wäre, würde das dazu führen, dass das Benutzerzertifikat nicht importiert wird? Oder würde diesem nur nicht vertraut werden?
Trotzdem habe ich nichts in meinem Zertifikatsspeicher. Auch das Eventlog am Client sagt nichts dazu.
Das Root-Zertifikat habe ich per Hand auf der Testmaschine installiert. Das sollte doch genügen, oder?
Manuell reicht.Selbst wenn es nicht da wäre, würde das dazu führen, dass das Benutzerzertifikat nicht importiert wird?
Nein, ich denke nicht.Oder würde diesem nur nicht vertraut werden?
Ja, denke ich auch.Trotzdem habe ich nichts in meinem Zertifikatsspeicher. Auch das Eventlog am Client sagt nichts dazu.
Nur um sicher zu gehen: Das Du den richtigen Benutzer testest, ist sicher? (Ist mir auch schon passiert, dass ich Benutzer verwechselt habe.)
Falsches Thema!
Wieso?
Anscheinend bekommt er es ja nicht hin die Zertifikate in die Zertifikatsspeicher der User zu deployen.
So geht das vernünftig und zuverlässig automatisch.
Anscheinend bekommt er es ja nicht hin die Zertifikate in die Zertifikatsspeicher der User zu deployen.
So geht das vernünftig und zuverlässig automatisch.
Anscheinend bekommt er es ja nicht hin die Zertifikate in die Zertifikatsspeicher der User zu deployen.
So geht das vernünftig und zuverlässig automatisch.
Was nützt das, wenn man ein vorhandenes Zertifikat verteilen will? Das kannn ja auch von einer externen, öffentlichen CA kommen.So geht das vernünftig und zuverlässig automatisch.
Was Du verlinkt hast, dabei geht es um das automatische Ausrollen von Zertifikaten von einer internen Microsoft CA.
So, ich bin doch einen Schritt weiter. Und zwar:
Die Zertifikate erscheinen nicht unter "Eigene Zertifikate" sondern in der MMC unter "Active-Directory-Benutzerobjekt -> Zertifikate". Ist ja irgendwie auch nachvollziehbar.
Allerdings möchte sich die Outlook nicht aus diesem Ordner holen sondern aus dem echten Eigenen Zertifikaten.
Gibt es dazu noch eine Idee?
Sprich die Verteilung klappt, nur an den falschen Ort.
Der Hinweis von Oneplus passt leider nicht so gut. Dabei geht es um die Verteilung eines Zertifikats. Auf diese Art die externen Zertifikate von rund 300 Anwendern verteilen dürfte eine wenig akzeptable GPO nach sich ziehen
Die Zertifikate erscheinen nicht unter "Eigene Zertifikate" sondern in der MMC unter "Active-Directory-Benutzerobjekt -> Zertifikate". Ist ja irgendwie auch nachvollziehbar.
Allerdings möchte sich die Outlook nicht aus diesem Ordner holen sondern aus dem echten Eigenen Zertifikaten.
Gibt es dazu noch eine Idee?
Sprich die Verteilung klappt, nur an den falschen Ort.
Der Hinweis von Oneplus passt leider nicht so gut. Dabei geht es um die Verteilung eines Zertifikats. Auf diese Art die externen Zertifikate von rund 300 Anwendern verteilen dürfte eine wenig akzeptable GPO nach sich ziehen
Ich glaube du solltest mal
https://groups.google.com/forum/m/#!topic/microsoft.public.windows.serve ...
lesen.
Zertifikate für SMIME besitzen einen private Key und ohne diesen wirst du es nicht am Client nutzen können und wird auch nicht in de Liste in Outlook auftauchen.
Also wirst du diese entweder manuell oder per Skript in die Roaming Profiles importieren müssen.
Heutzutage macht man das aber eher über spezialisierte Kryptogateways, die die Nachrichten zentral wie am Exchange mit dem passenden Zertifikat oder Signatur versehen.
Z.b. https://www.ciphermail.info
https://groups.google.com/forum/m/#!topic/microsoft.public.windows.serve ...
lesen.
Zertifikate für SMIME besitzen einen private Key und ohne diesen wirst du es nicht am Client nutzen können und wird auch nicht in de Liste in Outlook auftauchen.
Also wirst du diese entweder manuell oder per Skript in die Roaming Profiles importieren müssen.
Heutzutage macht man das aber eher über spezialisierte Kryptogateways, die die Nachrichten zentral wie am Exchange mit dem passenden Zertifikat oder Signatur versehen.
Z.b. https://www.ciphermail.info
Hallo zusammen,
Beitrag hat zwar nicht unbedingt etwas mit er Lösung zu tun, aber vielleicht hilft es ja einen unkomplizierteren Ansatz zu finden.
An diesem Thema hatte ich mich auch schon versucht, bin dann auf dritt Anbieter Tools umgeswitched,
das wird zentral vor den Mailserver gehängt. Dort befindet sich ein Zentraler Speicher für die Zertifikate.
Das ganze hat den Vorteil, dass auch von Handys oder IPads etc. Mails über den Exchange versendet werden und die dann vom Frontend Verschlüsselt werden. Genau so umgekehrt, jede Verschlüsselte Mail wird auf dem Gateway entschlüsselt und dann erst auf den Exchange zugestellt, so das alle Endgeräte die Mails lesen können.
Gilt allerdings nur für Mails nach extern. Man kann da sehr viel konfigurieren, zb. das jede Mail signiert geschickt werden muss, oder Whitelist setzen etc.....
Zusätzliches, wenn man "den Vollausbau" des Tools nimmt, gibt es noch ein sensationelles AntiSpam System dazu. Wir habe so seit Januar von einem gesamt Mail Volumen von ca. 200T Mails ca. 95 T Spams herausgezogen, bzw. die kommen erst gar nicht auf das System weil diese am Gateway geblockt werden.
Tool NoSpamProxy
Grüße Torsten
Beitrag hat zwar nicht unbedingt etwas mit er Lösung zu tun, aber vielleicht hilft es ja einen unkomplizierteren Ansatz zu finden.
An diesem Thema hatte ich mich auch schon versucht, bin dann auf dritt Anbieter Tools umgeswitched,
das wird zentral vor den Mailserver gehängt. Dort befindet sich ein Zentraler Speicher für die Zertifikate.
Das ganze hat den Vorteil, dass auch von Handys oder IPads etc. Mails über den Exchange versendet werden und die dann vom Frontend Verschlüsselt werden. Genau so umgekehrt, jede Verschlüsselte Mail wird auf dem Gateway entschlüsselt und dann erst auf den Exchange zugestellt, so das alle Endgeräte die Mails lesen können.
Gilt allerdings nur für Mails nach extern. Man kann da sehr viel konfigurieren, zb. das jede Mail signiert geschickt werden muss, oder Whitelist setzen etc.....
Zusätzliches, wenn man "den Vollausbau" des Tools nimmt, gibt es noch ein sensationelles AntiSpam System dazu. Wir habe so seit Januar von einem gesamt Mail Volumen von ca. 200T Mails ca. 95 T Spams herausgezogen, bzw. die kommen erst gar nicht auf das System weil diese am Gateway geblockt werden.
Tool NoSpamProxy
Grüße Torsten
