6
SMIME mit Domänen-Zertifikat
Ich bin leider unerfahren was SMIME angeht und habe eine grundsätzliche Frage. Folgender Fall:
Zwei Unternehmen möchten ihren E-Mail-Verkehr per SMIME absichern. Beide arbeiten mit einem Gateway, das E-Mails nach Versand durch den Mailserver ver- und vor Empfang durch den Mailserver entschlüsselt. Der Mailserver ist also außen vor und hat nur unverschlüsselte Inhalte.
Beide Gateways haben eine eigene CA, signieren ihre Zertifikate also selbst. Sende ich von Unternehmen A den öffentlichen Schlüssel von User 1 an Unternehmen B und importiere diesen in das Gateway von Unternehmen B werden alle E-Mails vom Unternehmen B an Unternehmen A User 1 verschlüsselt. Admin B muss lediglich das Zertifikat in seinem Gateway als vertrauenswürdig anerkennen, macht soweit Sinn.
Frage 1)
Muss ich das jetzt aber für alle User von Unternehmen A machen damit alle an meine Domäne gerichtete E-Mail von Unternehmen B verschlüsselt werden oder kann ich ein Zertifikat auf Domänen-Ebene zur Verschlüsselung nutzen? Mir ist nicht ganz klar, warum das nicht gehen sollte aber ich kriege es auch nicht hin.
Frage 2)
Muss Admin B jedes dieser Zertifikate als vertrauenswürdig anerkennen oder kann er meiner CA vertrauen und vertraut damit automatisch jedem meiner Zertifikate? Ich vermute mal das geht, ist dann aber abhängig von der eingesetzten Gateway-Lösung.
Zwei Unternehmen möchten ihren E-Mail-Verkehr per SMIME absichern. Beide arbeiten mit einem Gateway, das E-Mails nach Versand durch den Mailserver ver- und vor Empfang durch den Mailserver entschlüsselt. Der Mailserver ist also außen vor und hat nur unverschlüsselte Inhalte.
Beide Gateways haben eine eigene CA, signieren ihre Zertifikate also selbst. Sende ich von Unternehmen A den öffentlichen Schlüssel von User 1 an Unternehmen B und importiere diesen in das Gateway von Unternehmen B werden alle E-Mails vom Unternehmen B an Unternehmen A User 1 verschlüsselt. Admin B muss lediglich das Zertifikat in seinem Gateway als vertrauenswürdig anerkennen, macht soweit Sinn.
Frage 1)
Muss ich das jetzt aber für alle User von Unternehmen A machen damit alle an meine Domäne gerichtete E-Mail von Unternehmen B verschlüsselt werden oder kann ich ein Zertifikat auf Domänen-Ebene zur Verschlüsselung nutzen? Mir ist nicht ganz klar, warum das nicht gehen sollte aber ich kriege es auch nicht hin.
Frage 2)
Muss Admin B jedes dieser Zertifikate als vertrauenswürdig anerkennen oder kann er meiner CA vertrauen und vertraut damit automatisch jedem meiner Zertifikate? Ich vermute mal das geht, ist dann aber abhängig von der eingesetzten Gateway-Lösung.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 309090
Url: https://administrator.de/contentid/309090
Printed on: April 24, 2024 at 08:04 o'clock
6 Comments
Latest comment
Moin,
Zunächst mal, zur reinen verschlüsselung zwischen den beiden Server willst du eigentlich nur TLS nutzen. dafür ist es da.
S/MIME über Unternehmensgrenzen hinweg ist sehr haarig, aber möglich. Okay, nicht ganz. Signieren geht einfach, hierzu muss nur der rootCA des Zertifikats vertraut werden. Funktioniert also durch den CA-Import von Admin B.
Verschlüsselung ist aber wirklich hässlich. Active Directory organisiert dir deine Keys vollautomatisch, deswegen funktioniert das so gut. Hier werden die Publickeys vollautomatisch ausgetauscht. Wenn du nun aber aus deinem AD raus gehst, kommst du zu dem Problem, dass sich deine User Zertifikate nicht vollautomatisch verteilen und somit die Keys zum Verschlüsseln fehlen.
Eine einfache Lösung ist hinzufügen der Keys sobald man die erste Mail bekommen hat, aber schön ist das halt nicht, denn die erste Mail ist somit unverschlüsselt, wenn auch signiert. Danach muss der User aktiv werden. Wenn du das willst, geht das, wenn nicht, dann funktioniert S/MIME nur schlecht.
Zumindest ist das bei allen Setups die ich kenne so. Ich wäre aber sicher auch daran interessiert, mal zu sehen, wenn es anders geht ;)
Gruß
Chris
Zunächst mal, zur reinen verschlüsselung zwischen den beiden Server willst du eigentlich nur TLS nutzen. dafür ist es da.
S/MIME über Unternehmensgrenzen hinweg ist sehr haarig, aber möglich. Okay, nicht ganz. Signieren geht einfach, hierzu muss nur der rootCA des Zertifikats vertraut werden. Funktioniert also durch den CA-Import von Admin B.
Verschlüsselung ist aber wirklich hässlich. Active Directory organisiert dir deine Keys vollautomatisch, deswegen funktioniert das so gut. Hier werden die Publickeys vollautomatisch ausgetauscht. Wenn du nun aber aus deinem AD raus gehst, kommst du zu dem Problem, dass sich deine User Zertifikate nicht vollautomatisch verteilen und somit die Keys zum Verschlüsseln fehlen.
Eine einfache Lösung ist hinzufügen der Keys sobald man die erste Mail bekommen hat, aber schön ist das halt nicht, denn die erste Mail ist somit unverschlüsselt, wenn auch signiert. Danach muss der User aktiv werden. Wenn du das willst, geht das, wenn nicht, dann funktioniert S/MIME nur schlecht.
Zumindest ist das bei allen Setups die ich kenne so. Ich wäre aber sicher auch daran interessiert, mal zu sehen, wenn es anders geht ;)
Gruß
Chris
Ich wäre aber sicher auch daran interessiert, mal zu sehen, wenn es anders geht ;)
Moin
Stimme ich dir zu und ich würde das auch gerne sehen
Das Thema hat bei mir 8 von 10 PITA Punkten
VG
@Sheogorath
Man sollte a) erwähnen, dass Benutzer B1 zunächst an Benutzer A1 schreiben muss (signierte Mail oder Mail mit seinem Public Key im Anhang), damit Benutzer A1 dem Benutzer B1 eine verschlüsselte Mail senden kann, welche dieser mit seinem Private Key lesen kann.
Und b) wäre diese erste Mail kein Problem, weil diese keine Informationen zum Entschlüsseln enthält.
E.
Man sollte a) erwähnen, dass Benutzer B1 zunächst an Benutzer A1 schreiben muss (signierte Mail oder Mail mit seinem Public Key im Anhang), damit Benutzer A1 dem Benutzer B1 eine verschlüsselte Mail senden kann, welche dieser mit seinem Private Key lesen kann.
Und b) wäre diese erste Mail kein Problem, weil diese keine Informationen zum Entschlüsseln enthält.
E.
Okay an meine AD bin ich tatsächlich nicht angebunden da mein Gateway derzeit nur mit PDF als Container eine Einwegverschlüsselung macht, die in einigen Fällen auch sinnvoll ist. Zu diesem Zweck werden dort Empfänger und nicht Absender gepflegt und die stehen ja sowieso nicht in meiner AD.
Das Gateway kann auch SMIME und das wollte ich nutzen. Es importiert Schlüssel automatisch, verwendet sie aber noch nicht automatisch und der Schlüssel muss natürlich von jedem Empfänger dann zunächst mal "eingeliefert" werden. Wenn in Unternehmen B aber 20 neue Mitarbeiter anfangen schicken die mir ja nicht gleich ihre Schlüssel, ich kenne die ja nichtmal. Daher suche ich nach einem Schlüssel mit dem anhand der Empfänger-Domäne verschlüsselt wird.
TLS nutzen Mailserver nur zur Verschlüsselung der Verbindung wenn ich mich nicht irre. Ich habe keine direkte Verbindung sondern verschlüssele normale E-Mails.
Das Gateway kann auch SMIME und das wollte ich nutzen. Es importiert Schlüssel automatisch, verwendet sie aber noch nicht automatisch und der Schlüssel muss natürlich von jedem Empfänger dann zunächst mal "eingeliefert" werden. Wenn in Unternehmen B aber 20 neue Mitarbeiter anfangen schicken die mir ja nicht gleich ihre Schlüssel, ich kenne die ja nichtmal. Daher suche ich nach einem Schlüssel mit dem anhand der Empfänger-Domäne verschlüsselt wird.
TLS nutzen Mailserver nur zur Verschlüsselung der Verbindung wenn ich mich nicht irre. Ich habe keine direkte Verbindung sondern verschlüssele normale E-Mails.
Zitat von @ukulele-7:
Frage 1)
Muss ich das jetzt aber für alle User von Unternehmen A machen damit alle an meine Domäne gerichtete E-Mail von Unternehmen B verschlüsselt werden oder kann ich ein Zertifikat auf Domänen-Ebene zur Verschlüsselung nutzen? Mir ist nicht ganz klar, warum das nicht gehen sollte aber ich kriege es auch nicht hin.
Frage 1)
Muss ich das jetzt aber für alle User von Unternehmen A machen damit alle an meine Domäne gerichtete E-Mail von Unternehmen B verschlüsselt werden oder kann ich ein Zertifikat auf Domänen-Ebene zur Verschlüsselung nutzen? Mir ist nicht ganz klar, warum das nicht gehen sollte aber ich kriege es auch nicht hin.
Du brauchst (nur!) ein Domain bzw. DCA-Zertifikat, siehe: https://www.ietf.org/rfc/rfc3183.txt
Gateway zu Gateway macht nur so Sinn, denn was wäre der Umkehrschluss: Der Admin pflegt die privaten Nutzer-Keys auf dem empfangenden Gateway ein, damit auch alles schön entschlüsselt wird?
Grüße
Richard
Okay das mit dem Domänen-Zertifikat geht und ich habe es auch mehr oder weniger richtig eingerichtet. Es scheint nur noch ein Konfigurationsproblem zu sein, eventuell mache ich dafür noch einen Thread auf.
