8
X 509 V3 Zertifikat S MIME Email Verschlüsselung
Hallo,
Ich bin von meinen Unternehmen beauftragt wurden, mich um Sicherheitszertifikate zu beantragen, da die Mailkommuniketion mit der Bundesagentur für Arbeit dies voraussetzt. Unter anderem müssen folgende Voraussetzungen erfüllt sein:
• Erstellung gem. X.509 V3 Standard
• die im Zertifikat (SubjectAltName) eingetragene E-Mail-Adresse muss mit der eingeladenen E-Mail-Adresse übereinstimmen.
• Die (Erweiterte -)Schlüsselverwendung muss die Attribute „Schlüsselverschlüsselung“ und „Sichere E-Mail“ enthalten.
• Die Zertifikate müssen gültig sein -> logisch
Anleitung vom Amt ist hier verlinkt:
https://www.arbeitsagentur.de/web/wcm/idc/groups/public/documents/webdat ...
Da dieses Thema für mich Neuland ist, haben sich für mich eine Fragen ergeben:
Reicht ein „Class 1“ Zertifikat für diese Zwecke aus ?
Mit welchen Kosten ist zu rechnen, gibt es Kostenfreie Alternativen (gemeinnütziges Unternehmen) ?
Brauche ich für jede Mailadresse ein Zertifikat oder reicht eins für die jeweilige Domain ?
Danke & LG
Klaus
Ich bin von meinen Unternehmen beauftragt wurden, mich um Sicherheitszertifikate zu beantragen, da die Mailkommuniketion mit der Bundesagentur für Arbeit dies voraussetzt. Unter anderem müssen folgende Voraussetzungen erfüllt sein:
• Erstellung gem. X.509 V3 Standard
• die im Zertifikat (SubjectAltName) eingetragene E-Mail-Adresse muss mit der eingeladenen E-Mail-Adresse übereinstimmen.
• Die (Erweiterte -)Schlüsselverwendung muss die Attribute „Schlüsselverschlüsselung“ und „Sichere E-Mail“ enthalten.
• Die Zertifikate müssen gültig sein -> logisch
Anleitung vom Amt ist hier verlinkt:
https://www.arbeitsagentur.de/web/wcm/idc/groups/public/documents/webdat ...
Da dieses Thema für mich Neuland ist, haben sich für mich eine Fragen ergeben:
Reicht ein „Class 1“ Zertifikat für diese Zwecke aus ?
Mit welchen Kosten ist zu rechnen, gibt es Kostenfreie Alternativen (gemeinnütziges Unternehmen) ?
Brauche ich für jede Mailadresse ein Zertifikat oder reicht eins für die jeweilige Domain ?
Danke & LG
Klaus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 304084
Url: https://administrator.de/contentid/304084
Ausgedruckt am: 26.11.2024 um 19:11 Uhr
8 Kommentare
Neuester Kommentar
Ja, es sollte reichen, es sei denn die Arge fordert ein höheres.
Hier siehst Du den Unterschied zwischen den Klassen: http://www.fim.uni-linz.ac.at/lva/Rechtliche_Aspekte/2001SS/ZertInt/kla ...
Kostenfrei gibt es, aber die Frage ist, ob die Gegenseite diesen Zertifikaten traut. Tut sie das nicht, dann hast Du kein Glück.
Danke & LG
Klaus
Hier siehst Du den Unterschied zwischen den Klassen: http://www.fim.uni-linz.ac.at/lva/Rechtliche_Aspekte/2001SS/ZertInt/kla ...
Mit welchen Kosten ist zu rechnen, gibt es Kostenfreie Alternativen (gemeinnütziges Unternehmen) ?
Kommt wirklich auf den Anbieter an. Schau mal hier: https://www.psw-group.de/smime/Kostenfrei gibt es, aber die Frage ist, ob die Gegenseite diesen Zertifikaten traut. Tut sie das nicht, dann hast Du kein Glück.
Brauche ich für jede Mailadresse ein Zertifikat oder reicht eins für die jeweilige Domain ?
Es ginge wohl beides, aber da hier wohl eine Ende-zu-Ende-Verschlüsselung angestrebt wird, brauchst Du aus meiner Sicht für jede eins, denn damit bekommst Du ja auch ein Schlüsselpaar.Danke & LG
Klaus
Zitat von @beidermachtvongreyscull:
Zitat von @PsychoPyro:
Mit welchen Kosten ist zu rechnen, gibt es Kostenfreie Alternativen (gemeinnütziges Unternehmen) ?
Kommt wirklich auf den Anbieter an. Schau mal hier: https://www.psw-group.de/smime/Mit welchen Kosten ist zu rechnen, gibt es Kostenfreie Alternativen (gemeinnütziges Unternehmen) ?
Danke für die schnelle Antwort.
Die verlinkte Seite gibt ja keine kostenlosen Zertifikate raus.
Gibt es einen Link für kostenlose Zertifikate?
Ggf würde ich die Arge mal anfragen, ob sie diese Akpeztiert. Einen Versuch ist es wert.
Seit wann machen die S/MIME?
Ich bitte um Entschuldigung. Mein Fehler.
Die machen (noch) kein S/MIME.
Moin ...
Bin kein Spezialist auf dem Gebiet aber die Formulierung deutet nicht unbedingt auf ein kostenpflichtiges Zertifikat.
Ich würde versuchen diese Punkte erstmal genauer zu klären.
VG
Bin kein Spezialist auf dem Gebiet aber die Formulierung deutet nicht unbedingt auf ein kostenpflichtiges Zertifikat.
Zitat von Arbeitsagentur
Falls Ihr IT-Service ein eigenes Trustcenter bzw. eine eigene PKI-Infrastruktur betreibt, können diese Zertifikate ebenfalls verwendet werden.
Grundsätzlich sind alle Zertifikate nutzbar, welche die folgenden Voraussetzungen erfüllen:
• Erstellung gem. X.509 V3 Standard
• die im Zertifikat (SubjectAltName) eingetragene E-Mail-Adresse muss mit der eingeladenen E-Mail-Adresse übereinstimmen.
• Die (Erweiterte-)Schlüsselverwendung muss die Attribute „Schlüsselverschlüsselung“ und „Sichere E-Mail“ enthalten.
• Die Zertifikate müssen gültig sein.
Falls Ihr IT-Service ein eigenes Trustcenter bzw. eine eigene PKI-Infrastruktur betreibt, können diese Zertifikate ebenfalls verwendet werden.
Grundsätzlich sind alle Zertifikate nutzbar, welche die folgenden Voraussetzungen erfüllen:
• Erstellung gem. X.509 V3 Standard
• die im Zertifikat (SubjectAltName) eingetragene E-Mail-Adresse muss mit der eingeladenen E-Mail-Adresse übereinstimmen.
• Die (Erweiterte-)Schlüsselverwendung muss die Attribute „Schlüsselverschlüsselung“ und „Sichere E-Mail“ enthalten.
• Die Zertifikate müssen gültig sein.
Ich würde versuchen diese Punkte erstmal genauer zu klären.
VG
Nach Rücksprache mit dem zuständigen Systemhaus der Arge ist ein Class 1 Zertifikat ausreichend.
Heute habe ich eine Mail erhalten, in der es heißt:
"Es ist auch möglich uns ein Domänenzertifikat zu übergeben statt einzelne Zertifikate für jede E-Mail-Adresse hochzuladen.
Im Anhang finden Sie ein Dokument, welches detaillierte Informationen zur E-Mail-Verschlüsselung, insbesondere zur Nutzung von Domänenzertifikaten und zur Vorbelegung von Eingabefeldern im Adressbuch für externe Kontakte der Bundesagentur für Arbeit enthält."
und weiter im Anhang:
"Nutzung von Domänenzertifikaten
(1) Für die verschlüsselte Kommunikation mit bestimmten E-Mail-Domänen können
Domänenzertifikate genutzt werden. Diese erlauben es, dasselbe Schlüsselmaterial für die gesamte an diese E-Mail-Domäne gerichtete Kommunikation zu
verwenden.
(2) Es ist prinzipiell möglich, bei aktiviertem Domänenzertifikat für einzelne E-MailAdressen einer Domäne ein vom Domänenzertifikate abweichendes Zertifikat zu
nutzen. Ob dies erforderlich bzw. gewünscht ist, wird nach Antragstellung mit
dem externen Kommunikationspartner abgestimmt.
(3) Domänenzertifikate müssen den in Kapitel 2.6 Abschnitt (1) gemachten Vorgaben – mit Ausnahme (1)d – entsprechen.
(4) Die Nutzung eines Domänenzertifikates kann von einem Mitarbeiter der Bundesagentur für Arbeit beantragt werden. Details zur Beantragung finden sich in der
„Policy E-Mail-Verschlüsselung“.
(5) Es ist die Aufgabe der Gegenstelle Änderungen am Domänenzertifikat rechtzeitig (mind. 4 Wochen vorher) anzuzeigen.
(6) Das IT-Systemhaus überwacht das Ablaufen von Domänenzertifikaten und kontaktiert die Gegenstelle rechtzeitig bzgl. eines neuen Domänenzertifikates. Dies
kann jedoch nur geschehen, wenn die Kontaktdaten der Gegenstelle noch aktuell sind. Es ist daher die Aufgabe der Gegenstelle oder des Antragstellers Änderungen an den Kontaktdaten laufend/rechtzeitig an das IT-Systemhaus zu melden.
(7) Läuft ein Domänenzertifikat ab ohne dass dafür ein Ersatz vorliegt, werden die
davon abhängigen Zertifikate gemäß Kapitel 2.6 Abs. (4) gelöscht. Eine Aktualisierung des Domänenzertifikates aktualisiert automatisch alle Adressbucheinträ-
ge welche dies verwenden.
(8) Parallel zu Domänenzertifikaten können auch Vorbelegungen nach Kapitel 2.7
genutzt werden"
Ich denke dann werde ich 2 Dömänenzertifikate nehmen was günstiger ist als >20 Adressen zu zertifizieren/bezahlen.
Heute habe ich eine Mail erhalten, in der es heißt:
"Es ist auch möglich uns ein Domänenzertifikat zu übergeben statt einzelne Zertifikate für jede E-Mail-Adresse hochzuladen.
Im Anhang finden Sie ein Dokument, welches detaillierte Informationen zur E-Mail-Verschlüsselung, insbesondere zur Nutzung von Domänenzertifikaten und zur Vorbelegung von Eingabefeldern im Adressbuch für externe Kontakte der Bundesagentur für Arbeit enthält."
und weiter im Anhang:
"Nutzung von Domänenzertifikaten
(1) Für die verschlüsselte Kommunikation mit bestimmten E-Mail-Domänen können
Domänenzertifikate genutzt werden. Diese erlauben es, dasselbe Schlüsselmaterial für die gesamte an diese E-Mail-Domäne gerichtete Kommunikation zu
verwenden.
(2) Es ist prinzipiell möglich, bei aktiviertem Domänenzertifikat für einzelne E-MailAdressen einer Domäne ein vom Domänenzertifikate abweichendes Zertifikat zu
nutzen. Ob dies erforderlich bzw. gewünscht ist, wird nach Antragstellung mit
dem externen Kommunikationspartner abgestimmt.
(3) Domänenzertifikate müssen den in Kapitel 2.6 Abschnitt (1) gemachten Vorgaben – mit Ausnahme (1)d – entsprechen.
(4) Die Nutzung eines Domänenzertifikates kann von einem Mitarbeiter der Bundesagentur für Arbeit beantragt werden. Details zur Beantragung finden sich in der
„Policy E-Mail-Verschlüsselung“.
(5) Es ist die Aufgabe der Gegenstelle Änderungen am Domänenzertifikat rechtzeitig (mind. 4 Wochen vorher) anzuzeigen.
(6) Das IT-Systemhaus überwacht das Ablaufen von Domänenzertifikaten und kontaktiert die Gegenstelle rechtzeitig bzgl. eines neuen Domänenzertifikates. Dies
kann jedoch nur geschehen, wenn die Kontaktdaten der Gegenstelle noch aktuell sind. Es ist daher die Aufgabe der Gegenstelle oder des Antragstellers Änderungen an den Kontaktdaten laufend/rechtzeitig an das IT-Systemhaus zu melden.
(7) Läuft ein Domänenzertifikat ab ohne dass dafür ein Ersatz vorliegt, werden die
davon abhängigen Zertifikate gemäß Kapitel 2.6 Abs. (4) gelöscht. Eine Aktualisierung des Domänenzertifikates aktualisiert automatisch alle Adressbucheinträ-
ge welche dies verwenden.
(8) Parallel zu Domänenzertifikaten können auch Vorbelegungen nach Kapitel 2.7
genutzt werden"
Ich denke dann werde ich 2 Dömänenzertifikate nehmen was günstiger ist als >20 Adressen zu zertifizieren/bezahlen.
