vile-gangster
Goto Top

SMIME Domänen Zertifikat importieren

Hallo in die Runde,

ich habe ein Verständnisproblem zum Thema S/MIME.
Weder mein Kollege noch ich hatten bisher Berührungspunkte mit diesem Thema über die letzten Jahre oder Jahrzehnte,
traurig aber wahr.

Die prinzipielle Funktionsweise ist uns schon klar, also wie das mit privatem und öffentlichen Schlüssel funtkioniert.

Was die Sache gerade kompliziert macht ist, dass wir einen Kunden haben der auf verschlüsselte E-Mail Kommunikation besteht.
Soweit so gut, haben wir uns gedacht und erst mal eine Hand voll Zertifikate bei einem Anbieter gekauft und bei unseren
Beutzern installiert.
Dann dem Kunden jeweils signierte E-Mail zukommen lassen damit er usnere öffentliche Schlüssel hat.
Bis hierhin funktioniert es, der Kunde kann uns verschlüsselte E-Mails schicken und wir diese lesen.

Jetzt kommt der Teil der uns Kopfschmerzen bereitet.
Der Kunde hat ein Selfsigned Domänen Zertifikat erstellt und uns die *.p7b Datei zukommen lassen.
Dieses haben wir jeweils bei unseren Benutzern installiert und wären nun davon ausgegangen, dass wir jedwede E-Mail die wir an *@Kunde
schicken mit dem installierten öffentlichen Schlüssel des Kunden durch Outlook verschlüsselt wird.

Das einzige das passiert ist, dass Outlook beim Senden meckert dass die E-Mail nicht gesendet werden kann mit folgendem Hinweis.
(siehe Anhang)

Gleiche Meldung kommt übrigens auch wenn ich an einen Kollegen eine E-Mail senden möchte. Erst nachdem ich den Kollegen zu meinen
persönlichen Kontakten in Outlook hinzugefügt habe wird die E-Mail versendet, und kommt signiert und verschlüsselt bei ihm an.
Ist das ein "normales" Verhalten oder ist auch hier ein Fehler der Konfiguration unsererseits zu unterstellen?

Die Suchfunktion habe ich verwendet, aber keines der gefundenen Themen passt zu unserem Problem.

Es wäre super wenn sich hier jemand berufen fühlt, uns Hilfestellung zu geben wo wir einen Fehler machen.

Vielen Dank und viele GRüße
Vile Gangster
2024-10-08 11_09_35-window

Content-ID: 668636

Url: https://administrator.de/forum/smime-domaenen-zertifikat-importieren-668636.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

ukulele-7
ukulele-7 08.10.2024 um 11:51:37 Uhr
Goto Top
Du kannst mal im Zertifikatsspeicher von Windows schauen ob und wo das Zertifikat des Kunden dort genau aufgeführt wird. Ich schätze mal, das Problem ist das self signed und Outlook vertraut dem Zertifikat nicht. Ich habe das ganze aber nur einmal wirklich in Outlook eingerichtet, ist etwas her.

Wollt ihr das wirklich mit Outlook lösen? Ich würde immer eine Gateway-Lösung empfehlen, z.B. mit Ciphermail.
Vile-Gangster
Vile-Gangster 08.10.2024 um 12:05:12 Uhr
Goto Top
Hi ukulele,

Danke schon mal für die schnelle Antwort.

Im Zertifikatsspeicher taucht das Zertifikat auf, sowhl unter "Eigene Zertifikate" als auch in den "Vertrauenswürdigen Stammzertifizierungsstellen".

Gegenüber den den "offiziellen" gekauften Zertifikaten schaur das Symbol schon anders aus aber ich kann ja in Outlook auch explizit beim Absender sagen das ich seinem Zertifikat vertrauen möchte.
Aber selbst wenn man dem Zertifikat oder der Kette vertraut führt das nicht zum Erfolg.

So ein Gateway wäre bestimmt eine Lösung, aber das ist mit Sicherheit auch nicht mal so eben hingesetzt ohne sich damit auseinandergesetzt zu haben.
Projekt kam halt (wie üblich face-smile ) sehr schnell mit lustigen Anforderungen ...
Wir müssen das halt erstmal "Quick and Dirty" hinbekommen, eine langfristige Lösung macht dann bstimmt durchaus auch Sinn
ukulele-7
ukulele-7 08.10.2024 um 12:25:57 Uhr
Goto Top
Vertraut Outlook nur dem Zertifikat selbst oder auch dem Ausstellerzertifikat? Bin da echt nicht auf dem laufenden.

Ja so ein Gateway muss man sicherlich erstmal in Ruhe aufsetzen. Aber was selbst ausgestellte und/oder abgelaufene Zertifikate angeht, hat man damit alle Möglichkeiten. Du kannst mit komplett selbst ausgestellten Zertifikaten auf beiden Seiten arbeiten oder mit einem Zertifikat alles an eine Ziel-Domain verschlüsseln - egal welche E-Mail-Adresse (sofern deine Gegenstelle das supported, aber das scheint mir der Fall zu sein).

Dazu kommt der grundlegende Vorteil, das der Client und auch Archivierung außen vor bleiben. Und du kannst Verschlüsselung vernünftig erzwingen oder es geht nichts an den Kunden raus.
DerWoWusste
DerWoWusste 08.10.2024 um 14:08:13 Uhr
Goto Top
Ich meine mich zu erinnern, dass das Verhalten normal ist. Der Empfänger muss zwingend im Adressbuch sein.
Vile-Gangster
Vile-Gangster 08.10.2024 um 14:17:24 Uhr
Goto Top
Zitat von @DerWoWusste:

Ich meine mich zu erinnern, dass das Verhalten normal ist. Der Empfänger muss zwingend im Adressbuch sein.

Das ist schon mal beruhigend zu wissen face-smile
Vile-Gangster
Vile-Gangster 08.10.2024 um 14:23:20 Uhr
Goto Top
Zitat von @ukulele-7:

Vertraut Outlook nur dem Zertifikat selbst oder auch dem Ausstellerzertifikat? Bin da echt nicht auf dem laufenden.

Ja so ein Gateway muss man sicherlich erstmal in Ruhe aufsetzen. Aber was selbst ausgestellte und/oder abgelaufene Zertifikate angeht, hat man damit alle Möglichkeiten. Du kannst mit komplett selbst ausgestellten Zertifikaten auf beiden Seiten arbeiten oder mit einem Zertifikat alles an eine Ziel-Domain verschlüsseln - egal welche E-Mail-Adresse (sofern deine Gegenstelle das supported, aber das scheint mir der Fall zu sein).

Dazu kommt der grundlegende Vorteil, das der Client und auch Archivierung außen vor bleiben. Und du kannst Verschlüsselung vernünftig erzwingen oder es geht nichts an den Kunden raus.

Ja, hab mir mal von Cipher die HyperV VM gezogen.
Langfristig ist das evtl. sschon nett, keine Frage. Bekomm ich aber so ASAP nicht gebaut und getestet.
Irgendwie muss ich halt schauen das ich dieses Selfsigned Zertifikat erstmal ans Laufen bekomme