S MIME Zertifikat aus AD in Outlook einbinden
Hallo zusammen,
in einer Umgebung, in der die Benutzer auf mehreren Terminalservern Outlook benutzen möchte ich Mailverschlüsselung mit S/MIME umsetzen.
Zu diesem Zweck habe ich mir überlegt die Benutzerzertifikate inkl. Private Key im AD zu hinterlegen. Dazu habe ich das Zertifikat eines Testbenutzers am Benutzer unter "Veröffentlichte Zertifikate" hinzugefügt.
Nun ist aber die Frage, wie ich dieses Zertifikat auch in Outlook einbinden kann. Im TrustCenter taucht es nicht auf, das scheint nur im normalen Zertifikatsspeicher zu schauen.
Wie mache ich meinem Outlook nun klar, das Zertifikat aus dem AD zu verwenden?
Beste Grüße
Christoph
in einer Umgebung, in der die Benutzer auf mehreren Terminalservern Outlook benutzen möchte ich Mailverschlüsselung mit S/MIME umsetzen.
Zu diesem Zweck habe ich mir überlegt die Benutzerzertifikate inkl. Private Key im AD zu hinterlegen. Dazu habe ich das Zertifikat eines Testbenutzers am Benutzer unter "Veröffentlichte Zertifikate" hinzugefügt.
Nun ist aber die Frage, wie ich dieses Zertifikat auch in Outlook einbinden kann. Im TrustCenter taucht es nicht auf, das scheint nur im normalen Zertifikatsspeicher zu schauen.
Wie mache ich meinem Outlook nun klar, das Zertifikat aus dem AD zu verwenden?
Beste Grüße
Christoph
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 349487
Url: https://administrator.de/forum/s-mime-zertifikat-aus-ad-in-outlook-einbinden-349487.html
Ausgedruckt am: 22.12.2024 um 15:12 Uhr
12 Kommentare
Neuester Kommentar
Soweit hatte ich das schon verstanden. Ich sehe aber gerade, dass unter "Zertifikate - Aktueller Benutzer" -> "Eigene Zertifikate" kein Zertifikat auftaucht obwohl ich es unter den veröfftentlichten Zertifikaten am AD-Benutzer-Objekt hinzugefügt habe.
Ist es so, dass sie daraufhin im Zertifikatsspeicher auftauchen sollten? Oder ist dafür noch ein weiterer Schritt nötig?
Ach so, DAS ist das Problem.Ist es so, dass sie daraufhin im Zertifikatsspeicher auftauchen sollten? Oder ist dafür noch ein weiterer Schritt nötig?
Benutzer danach neu angemeldet?
AD-Replikation funktioniert? (Der Anmelde-DC des Benutzers hat diese Änderung übernommen?)
Am Rande: Das Zertifikat der austellenden CA muss per GPO auch auf diesen Computer verteilt werden.
Das Root-Zertifikat habe ich per Hand auf der Testmaschine installiert. Das sollte doch genügen, oder?
Manuell reicht.Selbst wenn es nicht da wäre, würde das dazu führen, dass das Benutzerzertifikat nicht importiert wird?
Nein, ich denke nicht.Oder würde diesem nur nicht vertraut werden?
Ja, denke ich auch.Trotzdem habe ich nichts in meinem Zertifikatsspeicher. Auch das Eventlog am Client sagt nichts dazu.
Nur um sicher zu gehen: Das Du den richtigen Benutzer testest, ist sicher? (Ist mir auch schon passiert, dass ich Benutzer verwechselt habe.)
Falsches Thema!
Wieso?
Anscheinend bekommt er es ja nicht hin die Zertifikate in die Zertifikatsspeicher der User zu deployen.
So geht das vernünftig und zuverlässig automatisch.
Anscheinend bekommt er es ja nicht hin die Zertifikate in die Zertifikatsspeicher der User zu deployen.
So geht das vernünftig und zuverlässig automatisch.
Anscheinend bekommt er es ja nicht hin die Zertifikate in die Zertifikatsspeicher der User zu deployen.
So geht das vernünftig und zuverlässig automatisch.
Was nützt das, wenn man ein vorhandenes Zertifikat verteilen will? Das kannn ja auch von einer externen, öffentlichen CA kommen.So geht das vernünftig und zuverlässig automatisch.
Was Du verlinkt hast, dabei geht es um das automatische Ausrollen von Zertifikaten von einer internen Microsoft CA.
Ich glaube du solltest mal
https://groups.google.com/forum/m/#!topic/microsoft.public.windows.serve ...
lesen.
Zertifikate für SMIME besitzen einen private Key und ohne diesen wirst du es nicht am Client nutzen können und wird auch nicht in de Liste in Outlook auftauchen.
Also wirst du diese entweder manuell oder per Skript in die Roaming Profiles importieren müssen.
Heutzutage macht man das aber eher über spezialisierte Kryptogateways, die die Nachrichten zentral wie am Exchange mit dem passenden Zertifikat oder Signatur versehen.
Z.b. https://www.ciphermail.info
https://groups.google.com/forum/m/#!topic/microsoft.public.windows.serve ...
lesen.
Zertifikate für SMIME besitzen einen private Key und ohne diesen wirst du es nicht am Client nutzen können und wird auch nicht in de Liste in Outlook auftauchen.
Also wirst du diese entweder manuell oder per Skript in die Roaming Profiles importieren müssen.
Heutzutage macht man das aber eher über spezialisierte Kryptogateways, die die Nachrichten zentral wie am Exchange mit dem passenden Zertifikat oder Signatur versehen.
Z.b. https://www.ciphermail.info
Hallo zusammen,
Beitrag hat zwar nicht unbedingt etwas mit er Lösung zu tun, aber vielleicht hilft es ja einen unkomplizierteren Ansatz zu finden.
An diesem Thema hatte ich mich auch schon versucht, bin dann auf dritt Anbieter Tools umgeswitched,
das wird zentral vor den Mailserver gehängt. Dort befindet sich ein Zentraler Speicher für die Zertifikate.
Das ganze hat den Vorteil, dass auch von Handys oder IPads etc. Mails über den Exchange versendet werden und die dann vom Frontend Verschlüsselt werden. Genau so umgekehrt, jede Verschlüsselte Mail wird auf dem Gateway entschlüsselt und dann erst auf den Exchange zugestellt, so das alle Endgeräte die Mails lesen können.
Gilt allerdings nur für Mails nach extern. Man kann da sehr viel konfigurieren, zb. das jede Mail signiert geschickt werden muss, oder Whitelist setzen etc.....
Zusätzliches, wenn man "den Vollausbau" des Tools nimmt, gibt es noch ein sensationelles AntiSpam System dazu. Wir habe so seit Januar von einem gesamt Mail Volumen von ca. 200T Mails ca. 95 T Spams herausgezogen, bzw. die kommen erst gar nicht auf das System weil diese am Gateway geblockt werden.
Tool NoSpamProxy
Grüße Torsten
Beitrag hat zwar nicht unbedingt etwas mit er Lösung zu tun, aber vielleicht hilft es ja einen unkomplizierteren Ansatz zu finden.
An diesem Thema hatte ich mich auch schon versucht, bin dann auf dritt Anbieter Tools umgeswitched,
das wird zentral vor den Mailserver gehängt. Dort befindet sich ein Zentraler Speicher für die Zertifikate.
Das ganze hat den Vorteil, dass auch von Handys oder IPads etc. Mails über den Exchange versendet werden und die dann vom Frontend Verschlüsselt werden. Genau so umgekehrt, jede Verschlüsselte Mail wird auf dem Gateway entschlüsselt und dann erst auf den Exchange zugestellt, so das alle Endgeräte die Mails lesen können.
Gilt allerdings nur für Mails nach extern. Man kann da sehr viel konfigurieren, zb. das jede Mail signiert geschickt werden muss, oder Whitelist setzen etc.....
Zusätzliches, wenn man "den Vollausbau" des Tools nimmt, gibt es noch ein sensationelles AntiSpam System dazu. Wir habe so seit Januar von einem gesamt Mail Volumen von ca. 200T Mails ca. 95 T Spams herausgezogen, bzw. die kommen erst gar nicht auf das System weil diese am Gateway geblockt werden.
Tool NoSpamProxy
Grüße Torsten