derwowusste
Goto Top

SmartCard-basierte digitale Mailsignatur in Outlook

Moin Kollegen.

Wir nutzen noch Outlook 2016 (MSI, nix click2run).
Dort ist es so, dass man, wenn man erzwungen hat, alle Mails digital zu signieren UND die Signatur (=ein für SMime geeignetes Zertifikat) auf der SmartCard gespeichert hat, nur einmalig (einmal pro Outlook-Sitzung, nämlich bei der ersten zu versendenden Mail) nach der SmartCard-PIN gefragt wird.

Dies haben wir beim Einrichten damals so hingenommen und fanden es ok, dass das Zertifikat offenbar gecacht wird.

Nun testen wir Outlook 2024 LTSC und siehe da, da muss man immer die PIN eingeben, bei jeder Mail. Das nervt den einen oder anderen sicherlich.

Frage: ist irgendjemandem zufällig bekannt, ob das unter Outlook 2016 beschriebene, erwünschte Verhalten ein Bug ist?
Oder ist gar das Verhalten unter dem aktuellen Office ein Bug?
Hier noch die Stelle in Outlook mit der man es testen kann:
screenshot 2024-09-25 150528

Content-ID: 668377

Url: https://administrator.de/contentid/668377

Ausgedruckt am: 21.11.2024 um 15:11 Uhr

Penny.Cilin
Penny.Cilin 25.09.2024 um 16:59:08 Uhr
Goto Top
@DerWoWusste
in Deinem Screenshot sehe ich die Option "s/MIME-Bestätigung anfordern, wenn mit S/MIME signiert"
Wenn der Haken gesetzt wird, die Bestätigung vom Empfänger der E-Mail?
Oder muss der Absender dies jedes Mal bestätigen?

Gruss Penny.
150704
150704 25.09.2024 aktualisiert um 18:14:18 Uhr
Goto Top
Wurde für den private Key die Option "Hohe Sicherheit / Strong key protection" gesetzt? Wenn ja dann ist das normal, indem Fall muss man bei jedem Zugriff auf den Key Pin/Passwort eingeben.
What is a strong key protection in Windows?

image
DerWoWusste
DerWoWusste 26.09.2024 aktualisiert um 11:31:32 Uhr
Goto Top
Servus.

@Penny.Cilin
Der Absender muss es im Outlook von Office 2024 LTSC und auch in 2021 LTSC jedes Mal bestätigen.
Witzigerweise auch in Outlook von Office 2016 Home and Business - nur in Office 2016 (MSI-Version) ist das Outlook so gnädig, dass es nur bei der ersten Mail des Tages danach fragt, und danach einfach so signiert, ohne nach der SmartCard-PIN zu fragen. Sieht also nach einer Eigenheit von Outlook 2016 MSI aus.

@150704
Der Haken ist gesetzt in der Zertifikatsvorlage der CA und auch so gewollt. Er wird ja auch respektiert von allen Outlooks (siehe Komment. an Penny), außer von Outlook 2016 in der MSI-Version.
Es wäre schön, wenn man dieses Verhalten der alten MSI-Version beibehalten könnte. Es tritt übrigens nur dann auf, wenn man wirklich festlegt, dass jede Mail signiert werden muss. Legt man das nicht fest, sondern ruft das Signieren manuell im Optionen-Menü der Mail hervor, dann wird jedes Mal nach der PIN gefragt - somit erschien es mir einleuchtend, dass MS ein Nachsehen mit denen hatte, die zum Signieren gezwungen werden und denen mit dem Cachen des Zerts einen Gefallen tun wollte.

Ich frage mich lediglich, ob ich der EInzige bin, dem das aufgefallen ist, oder ob sich jemand schon damit beschäftigen musste und etwas dazu rausgefunden hat.
DerWoWusste
DerWoWusste 27.09.2024 um 10:58:04 Uhr
Goto Top
So, endlich ein Fortschritt:

Wir haben hier SmartCards von Thales im Einsatz mit Thales SmartCardlesern (Thales IDBridge CT700).
Nutzt man andere Reader, funktioniert es!
Es sieht also so aus, als würde ausgerechnet der Reader des Kartenherstellers die gesetzten Cache-Optionen ("normal Cache") fehlinterpretieren!

Ich werde berichten, nachdem ich weiter getestet habe. Nur soviel vorab: mit anderen Readern geht es auch in den anderen Versionen von Outlook!
Penny.Cilin
Penny.Cilin 27.09.2024 um 11:06:17 Uhr
Goto Top
@DerWoWusste
Danke für die Information. Sehr gut zu wissen.

Gruss Penny.