SMIME Domain Rollout
Hallo,
heute zum Freitag hab ich noch zumindest meiner Meinung nach eine etwas komplexere Frage und hoffe auf ein Paar zusätzliche Meinungen.
Gegeben ich eine normale Windows Domain mit Exchange 2013 und Outlook in verschiedenen Versionen und einer Hand voll Mobiler Endgeräte die erst mal nicht interessieren.
Mein Gedanke ist ob es Sinnvoll ist hier über eine Windows Zertifizierungsstelle einen S/MIME Rollout durchzufüren.
Sprich kann ich Outlook irgendwie zentral beibringen das E-Mail's pauschal mit automatisch generierten Benutzerzertifikaten von einer Windows Zertifizierungsstelle signiert werden ohne das ein Eingriff von einem Benutzer notwendig ist.
Und dann wie würden andere Firmen darauf reagieren. Da es sich um kein öffentliches Zertifikat handelt ist es ja bei Fremdfirmen nicht "gültig". Würdet ihr sowas akzeptieren oder sogar noch weiter gehen und ein Zertifizierungsstellen Zertifikat so einbinden das unsere Benutzerzertifikate als gültig betrachtet werden.
Oder ist mein Gedanke absoluter Schwachsinn?
Schon mal vielen Danke für eure Hilfe und Meinungen
heute zum Freitag hab ich noch zumindest meiner Meinung nach eine etwas komplexere Frage und hoffe auf ein Paar zusätzliche Meinungen.
Gegeben ich eine normale Windows Domain mit Exchange 2013 und Outlook in verschiedenen Versionen und einer Hand voll Mobiler Endgeräte die erst mal nicht interessieren.
Mein Gedanke ist ob es Sinnvoll ist hier über eine Windows Zertifizierungsstelle einen S/MIME Rollout durchzufüren.
Sprich kann ich Outlook irgendwie zentral beibringen das E-Mail's pauschal mit automatisch generierten Benutzerzertifikaten von einer Windows Zertifizierungsstelle signiert werden ohne das ein Eingriff von einem Benutzer notwendig ist.
Und dann wie würden andere Firmen darauf reagieren. Da es sich um kein öffentliches Zertifikat handelt ist es ja bei Fremdfirmen nicht "gültig". Würdet ihr sowas akzeptieren oder sogar noch weiter gehen und ein Zertifizierungsstellen Zertifikat so einbinden das unsere Benutzerzertifikate als gültig betrachtet werden.
Oder ist mein Gedanke absoluter Schwachsinn?
Schon mal vielen Danke für eure Hilfe und Meinungen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 356027
Url: https://administrator.de/forum/smime-domain-rollout-356027.html
Ausgedruckt am: 24.12.2024 um 18:12 Uhr
6 Kommentare
Neuester Kommentar
Hi,
E.
Sprich kann ich Outlook irgendwie zentral beibringen das E-Mail's pauschal mit automatisch generierten Benutzerzertifikaten von einer Windows Zertifizierungsstelle signiert werden ohne das ein Eingriff von einem Benutzer notwendig ist.
Meines Wissens nicht. Selbst wenn der Benutzer nur ein Zertifikat in seinem Speicher hat will Outlook dieses ja auch noch ausgewählt wissen. Hier müsste man also etwas scripten.Und dann wie würden andere Firmen darauf reagieren. Da es sich um kein öffentliches Zertifikat handelt ist es ja bei Fremdfirmen nicht "gültig".
Ohne Ankündigung ganz gefährlich. Wenn, dann müsste man sowas bei allen Kunden und Dienstleistern lange vorher ankündigen, denen das öffentliche Stammzertifikat bereitstellen mit der Bitte, dies bei sich zu verteilen. Selbst wenn diese das alle tun würden, bleiben doch noch alle anderen Empfänger, welche nicht auf der Liste "normalen" der Kunden und Dienstleister stehen.Oder ist mein Gedanke absoluter Schwachsinn?
Ich würde es so nicht tun. Nur mit Zertifikaten von bekannten, öffentlichen Zertifizirungsstellen.E.
Das macht man heute effektiver mit S-MIME Gateway Lösungen wie diesen hier
Glaubs mir das ist 100 mal besser als das Client gebastel, damit wirst du nicht glücklich.
- https://www.nospamproxy.de/de/produkt/nospamproxy-encryption/
- https://www.ciphermail.info/
- https://www.msxfaq.de/signcrypt/gateway.htm
- https://www.google.de/search?q=s/mime+gateway
Glaubs mir das ist 100 mal besser als das Client gebastel, damit wirst du nicht glücklich.
Moin,
Gruß,
Dani
Mein Gedanke ist ob es Sinnvoll ist hier über eine Windows Zertifizierungsstelle einen S/MIME Rollout durchzufüren.
Kann man machen... allerdings müsstest du dir deine PKI bestätigen lassen - siehe hier. Zudem müsstest du sicherstellen, dass die Sperrliste(n) jeder Zeit aus dem Internet erreichbar und abrufbar sind. Denn irgendwie muss die Gültigkeit des Zertifikats geprüft werden.Würdet ihr sowas akzeptieren oder sogar noch weiter gehen und ein Zertifizierungsstellen Zertifikat so einbinden das unsere Benutzerzertifikate als gültig betrachtet werden.
Nein. Wer sagt mir dass du deine PKI nach den Richtlinien vorschriftsmäßig betreibst. Unabhängig davon entsteht durch die manuelle Einbindung ein gewisser (regelmäßiger) Pflegeaufwand, den ich dir in Rechnung stelle würde. Denn ich habe davon erstmal nichts außer Arbeit.Oder ist mein Gedanke absoluter Schwachsinn?
Lass es und kaufe die notwendigen Zertifikate bei den einschlägigen Anbietern. Mit einer entsprechenden Sofwarelösung aus dem Kommentar von @specht ist das zeitnah implementiert. Vorallem benutzerfreundlich und vollständig automatisiert. Wir nutzen u.a. dafür inzwischen NoSpamProxy.Gruß,
Dani