chb1982
Goto Top

S MIME Zertifikat aus AD in Outlook einbinden

Hallo zusammen,

in einer Umgebung, in der die Benutzer auf mehreren Terminalservern Outlook benutzen möchte ich Mailverschlüsselung mit S/MIME umsetzen.

Zu diesem Zweck habe ich mir überlegt die Benutzerzertifikate inkl. Private Key im AD zu hinterlegen. Dazu habe ich das Zertifikat eines Testbenutzers am Benutzer unter "Veröffentlichte Zertifikate" hinzugefügt.

Nun ist aber die Frage, wie ich dieses Zertifikat auch in Outlook einbinden kann. Im TrustCenter taucht es nicht auf, das scheint nur im normalen Zertifikatsspeicher zu schauen.

Wie mache ich meinem Outlook nun klar, das Zertifikat aus dem AD zu verwenden?

Beste Grüße
Christoph

Content-ID: 349487

Url: https://administrator.de/forum/s-mime-zertifikat-aus-ad-in-outlook-einbinden-349487.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

emeriks
emeriks 19.09.2017 um 12:11:32 Uhr
Goto Top
Hi,
das ist logisch. Mit AD kannst Du das Zertifikat nur allgemein an das Benutzerprofil verteilen. Das landet dann im Zertifikatspeicher des Benutzers unter "eigene Zertifikate".

Ins Outlook muss man das entweder manuell konfigurieren oder per Script bzw. VBA.

E.
chb1982
chb1982 19.09.2017 um 12:42:37 Uhr
Goto Top
Hi,

Soweit hatte ich das schon verstanden. Ich sehe aber gerade, dass unter "Zertifikate - Aktueller Benutzer" -> "Eigene Zertifikate" kein Zertifikat auftaucht obwohl ich es unter den veröfftentlichten Zertifikaten am AD-Benutzer-Objekt hinzugefügt habe.

Ist es so, dass sie daraufhin im Zertifikatsspeicher auftauchen sollten? Oder ist dafür noch ein weiterer Schritt nötig?

In Outlook muss man sie manuell hinzufügen, das ist mir bewusst.
emeriks
emeriks 19.09.2017 um 14:09:13 Uhr
Goto Top
Soweit hatte ich das schon verstanden. Ich sehe aber gerade, dass unter "Zertifikate - Aktueller Benutzer" -> "Eigene Zertifikate" kein Zertifikat auftaucht obwohl ich es unter den veröfftentlichten Zertifikaten am AD-Benutzer-Objekt hinzugefügt habe.

Ist es so, dass sie daraufhin im Zertifikatsspeicher auftauchen sollten? Oder ist dafür noch ein weiterer Schritt nötig?
Ach so, DAS ist das Problem.
Benutzer danach neu angemeldet?
AD-Replikation funktioniert? (Der Anmelde-DC des Benutzers hat diese Änderung übernommen?)

Am Rande: Das Zertifikat der austellenden CA muss per GPO auch auf diesen Computer verteilt werden.
chb1982
chb1982 19.09.2017 um 14:42:14 Uhr
Goto Top
Klar neu angemeldet. AD-Replikation funktioniert auch.

Das Root-Zertifikat habe ich per Hand auf der Testmaschine installiert. Das sollte doch genügen, oder? Selbst wenn es nicht da wäre, würde das dazu führen, dass das Benutzerzertifikat nicht importiert wird? Oder würde diesem nur nicht vertraut werden?

Trotzdem habe ich nichts in meinem Zertifikatsspeicher. Auch das Eventlog am Client sagt nichts dazu.
133883
133883 19.09.2017 um 15:00:09 Uhr
Goto Top
emeriks
emeriks 19.09.2017 um 15:01:40 Uhr
Goto Top
Das Root-Zertifikat habe ich per Hand auf der Testmaschine installiert. Das sollte doch genügen, oder?
Manuell reicht.
Selbst wenn es nicht da wäre, würde das dazu führen, dass das Benutzerzertifikat nicht importiert wird?
Nein, ich denke nicht.
Oder würde diesem nur nicht vertraut werden?
Ja, denke ich auch.
Trotzdem habe ich nichts in meinem Zertifikatsspeicher. Auch das Eventlog am Client sagt nichts dazu.
Nur um sicher zu gehen: Das Du den richtigen Benutzer testest, ist sicher? (Ist mir auch schon passiert, dass ich Benutzer verwechselt habe.)
emeriks
emeriks 19.09.2017 um 15:02:38 Uhr
Goto Top
Falsches Thema!
133883
133883 19.09.2017 aktualisiert um 15:06:23 Uhr
Goto Top
Wieso?

Anscheinend bekommt er es ja nicht hin die Zertifikate in die Zertifikatsspeicher der User zu deployen.
So geht das vernünftig und zuverlässig automatisch.
emeriks
emeriks 19.09.2017 um 15:10:47 Uhr
Goto Top
Anscheinend bekommt er es ja nicht hin die Zertifikate in die Zertifikatsspeicher der User zu deployen.
So geht das vernünftig und zuverlässig automatisch.
Was nützt das, wenn man ein vorhandenes Zertifikat verteilen will? Das kannn ja auch von einer externen, öffentlichen CA kommen.
Was Du verlinkt hast, dabei geht es um das automatische Ausrollen von Zertifikaten von einer internen Microsoft CA.
chb1982
chb1982 19.09.2017 um 15:28:07 Uhr
Goto Top
So, ich bin doch einen Schritt weiter. Und zwar:

Die Zertifikate erscheinen nicht unter "Eigene Zertifikate" sondern in der MMC unter "Active-Directory-Benutzerobjekt -> Zertifikate". Ist ja irgendwie auch nachvollziehbar.

Allerdings möchte sich die Outlook nicht aus diesem Ordner holen sondern aus dem echten Eigenen Zertifikaten.

Gibt es dazu noch eine Idee?

Sprich die Verteilung klappt, nur an den falschen Ort.

Der Hinweis von Oneplus passt leider nicht so gut. Dabei geht es um die Verteilung eines Zertifikats. Auf diese Art die externen Zertifikate von rund 300 Anwendern verteilen dürfte eine wenig akzeptable GPO nach sich ziehen face-smile
133883
133883 19.09.2017 aktualisiert um 15:39:10 Uhr
Goto Top
Ich glaube du solltest mal
https://groups.google.com/forum/m/#!topic/microsoft.public.windows.serve ...
lesen.
Zertifikate für SMIME besitzen einen private Key und ohne diesen wirst du es nicht am Client nutzen können und wird auch nicht in de Liste in Outlook auftauchen.
Also wirst du diese entweder manuell oder per Skript in die Roaming Profiles importieren müssen.

Heutzutage macht man das aber eher über spezialisierte Kryptogateways, die die Nachrichten zentral wie am Exchange mit dem passenden Zertifikat oder Signatur versehen.
Z.b. https://www.ciphermail.info
iceboxyz
iceboxyz 20.09.2017 um 15:45:19 Uhr
Goto Top
Hallo zusammen,
Beitrag hat zwar nicht unbedingt etwas mit er Lösung zu tun, aber vielleicht hilft es ja einen unkomplizierteren Ansatz zu finden.


An diesem Thema hatte ich mich auch schon versucht, bin dann auf dritt Anbieter Tools umgeswitched,
das wird zentral vor den Mailserver gehängt. Dort befindet sich ein Zentraler Speicher für die Zertifikate.

Das ganze hat den Vorteil, dass auch von Handys oder IPads etc. Mails über den Exchange versendet werden und die dann vom Frontend Verschlüsselt werden. Genau so umgekehrt, jede Verschlüsselte Mail wird auf dem Gateway entschlüsselt und dann erst auf den Exchange zugestellt, so das alle Endgeräte die Mails lesen können.
Gilt allerdings nur für Mails nach extern. Man kann da sehr viel konfigurieren, zb. das jede Mail signiert geschickt werden muss, oder Whitelist setzen etc.....

Zusätzliches, wenn man "den Vollausbau" des Tools nimmt, gibt es noch ein sensationelles AntiSpam System dazu. Wir habe so seit Januar von einem gesamt Mail Volumen von ca. 200T Mails ca. 95 T Spams herausgezogen, bzw. die kommen erst gar nicht auf das System weil diese am Gateway geblockt werden.

Tool NoSpamProxy

Grüße Torsten