Zertifikat e-mail
Hallo,
ich bin gerade dabei mir einen Überblick zu verschaffen.
Es geht um Zertifikate um einen sicheren e-mail Verkehr mit Behörden oder ähnlichem zu gewährleisten.
Unser Mailverkehr läuft über Exchange.
Eine Behörde hat uns Zertifikate geschickt die wir in unserem System eingebunden haben und von uns aus per sicherem Mail Verkehr kommunizieren können. Das klappt auch.
Jetzt soll das andersherum auch geschehen, das heißt wir schicken der Behörde ein Zertifikat, so das Mails zu uns auch verschlüsselt versandt werden.
Das Zertifikat muss folgende Anforderungen erfüllen.
- X.509 V3 Standard
- erweiterte Schlüsselverwendung muss die Attribute "Schlüsselverschlüsselung" und "sichere E-Mail" enthalten
- die im Zertifikat (SubjectAltName) eingetragene E-Mail Adresse muss mit der eingeladenen Mail Adresse übereinstimmen
Es gibt ja Trustcenter die so etwas machen, gibt es auch freie Tools mit der man diese Zertifikate erstellen kann, bzw. könnt ihr etwas empfehlen.
Ich habe mich mit dem Thema bisher noch nicht auseinandergesetzt.
Vielen Dank Planar
ich bin gerade dabei mir einen Überblick zu verschaffen.
Es geht um Zertifikate um einen sicheren e-mail Verkehr mit Behörden oder ähnlichem zu gewährleisten.
Unser Mailverkehr läuft über Exchange.
Eine Behörde hat uns Zertifikate geschickt die wir in unserem System eingebunden haben und von uns aus per sicherem Mail Verkehr kommunizieren können. Das klappt auch.
Jetzt soll das andersherum auch geschehen, das heißt wir schicken der Behörde ein Zertifikat, so das Mails zu uns auch verschlüsselt versandt werden.
Das Zertifikat muss folgende Anforderungen erfüllen.
- X.509 V3 Standard
- erweiterte Schlüsselverwendung muss die Attribute "Schlüsselverschlüsselung" und "sichere E-Mail" enthalten
- die im Zertifikat (SubjectAltName) eingetragene E-Mail Adresse muss mit der eingeladenen Mail Adresse übereinstimmen
Es gibt ja Trustcenter die so etwas machen, gibt es auch freie Tools mit der man diese Zertifikate erstellen kann, bzw. könnt ihr etwas empfehlen.
Ich habe mich mit dem Thema bisher noch nicht auseinandergesetzt.
Vielen Dank Planar
Antworten-
- Mehr
Auf Facebook teilen
Auf Twitter teilen8 Antworten
- LÖSUNG 143127 schreibt am 25.02.2020 um 11:50:27 Uhr
- LÖSUNG sabines schreibt am 25.02.2020 um 12:35:03 Uhr
- LÖSUNG StefanKittel schreibt am 26.02.2020 um 07:15:32 Uhr
- LÖSUNG sabines schreibt am 26.02.2020 um 12:16:16 Uhr
- LÖSUNG 143127 schreibt am 26.02.2020 um 12:20:59 Uhr
- LÖSUNG sabines schreibt am 26.02.2020 um 12:24:06 Uhr
- LÖSUNG planar schreibt am 28.02.2020 um 12:45:41 Uhr
- LÖSUNG 143127 schreibt am 28.02.2020 um 15:36:57 Uhr
- LÖSUNG planar schreibt am 28.02.2020 um 12:45:41 Uhr
- LÖSUNG sabines schreibt am 26.02.2020 um 12:24:06 Uhr
- LÖSUNG 143127 schreibt am 26.02.2020 um 12:20:59 Uhr
- LÖSUNG sabines schreibt am 26.02.2020 um 12:16:16 Uhr
LÖSUNG 25.02.2020, aktualisiert um 12:29 Uhr
Macht das am besten gleich zentral über ein "Secure Mail Gateway" und nicht auf den Clients
NoSpamProxy welches das auch gleich miterledigt kann ich z.B. wärmstens weiterempfehlenn (Nein das ist keine Werbung, und ich werde auch nicht dafür bezahlt, dies spiegelt nur meine eigene Erfahrung mit dem Produkt wieder).
NoSpamProxy welches das auch gleich miterledigt kann ich z.B. wärmstens weiterempfehlenn (Nein das ist keine Werbung, und ich werde auch nicht dafür bezahlt, dies spiegelt nur meine eigene Erfahrung mit dem Produkt wieder).
LÖSUNG 25.02.2020 um 12:35 Uhr
LÖSUNG 26.02.2020 um 07:15 Uhr
Hallo,
Grundsätzlich kannst Du intern eine CA aufsetzen und Zertifikate selber erstellen.
Das ist nur eigentlich sinnbefreit denn alle Clients werden diese Zertifikate ablehnen solange die nicht Deine CA importiert haben.
Die Idee ist, dass Du Zertifikate bei einem Trustcenter kaufst dem alle Clients schon vertrauen.
Zertifikate von dem TC werden von alle Clients automatisch als vertrauenswürdig akzeptiert.
Das mit dem sMIME GW kann man machen, muss aber nicht. Wenn es nur wenige Clients sind kann man es auch so machen.
Außerdem gibt es durch das GW keine Ende-Zu-Ende-Verschlüsselung.
Stefan
Zitat von planar:
Es gibt ja Trustcenter die so etwas machen, gibt es auch freie Tools mit der man diese Zertifikate erstellen kann, bzw. könnt ihr etwas empfehlen.
Es gibt ja Trustcenter die so etwas machen, gibt es auch freie Tools mit der man diese Zertifikate erstellen kann, bzw. könnt ihr etwas empfehlen.
Grundsätzlich kannst Du intern eine CA aufsetzen und Zertifikate selber erstellen.
Das ist nur eigentlich sinnbefreit denn alle Clients werden diese Zertifikate ablehnen solange die nicht Deine CA importiert haben.
Die Idee ist, dass Du Zertifikate bei einem Trustcenter kaufst dem alle Clients schon vertrauen.
Zertifikate von dem TC werden von alle Clients automatisch als vertrauenswürdig akzeptiert.
Das mit dem sMIME GW kann man machen, muss aber nicht. Wenn es nur wenige Clients sind kann man es auch so machen.
Außerdem gibt es durch das GW keine Ende-Zu-Ende-Verschlüsselung.
Stefan
LÖSUNG 26.02.2020, aktualisiert um 12:21 Uhr
Er meint damit das die Mail bereits auf dem Gateway entschlüsselt wird statt erst auf dem Client durch den Benutzer.
LÖSUNG 26.02.2020 um 12:24 Uhr
Das ist m.M. völlig ok und auch gut so, denn damit hast Du dann keine Probleme mehr mit den Mails im Haus.
Das Gateway liegt ja im Hoheisbereich des Unternehmens.
Das "andere" Szenario wäre jeder macht seine eigene Suppe und dann werden u.U. die Mails verschlüsselt gespeichert, dann kommt das PW/Zertifikat/User abhanden und keiner kann das noch lesen
Das Gateway liegt ja im Hoheisbereich des Unternehmens.
Das "andere" Szenario wäre jeder macht seine eigene Suppe und dann werden u.U. die Mails verschlüsselt gespeichert, dann kommt das PW/Zertifikat/User abhanden und keiner kann das noch lesen
LÖSUNG 28.02.2020 um 12:45 Uhr
Erstmal vielen Dank,
so ganz verstanden habe ich das noch nicht, wie gesagt es ist komplettes Neuland.
Die verschlüsselte Kommunikation von uns zur Behörde geht ja. Da hat uns die Behörde die Zertifikate bereitgestellt.
Um das auch andersherum zu machen hat der Ansprechpartner uns einen Link gesendet, dieser Link führt auf eine Seite auf der wir unsere Kontaktdaten angeben müssen. Dort existiert auch eine Upload Link, mit dem wir unser Zertifikat hochladen können, was wir auch gemacht haben.
Das Zertifikat habe ich Testweise mal mit dem Programm xca erstellt.
Die Behörde hat das geprüft und freigegeben.
Nun kann der Mitarbeiter uns aber trotzdem keine verschlüsselten Mails schicken, mit anderen Partnern klappt das bei ihm problemlos.
Das heißt unser Zertifikat hat sicher ein irgendwo ein Problem.
Das wars auch schon mit meiner Weisheit.
Vielleicht hat ja jemand Erfahrungen mit dem Programm oder anderen. Da wir nur ein paar Leute sind würde ich das erstens halbwegs verstehen und zweitens eine eigene Lösung finden wollen.
danke
so ganz verstanden habe ich das noch nicht, wie gesagt es ist komplettes Neuland.
Die verschlüsselte Kommunikation von uns zur Behörde geht ja. Da hat uns die Behörde die Zertifikate bereitgestellt.
Um das auch andersherum zu machen hat der Ansprechpartner uns einen Link gesendet, dieser Link führt auf eine Seite auf der wir unsere Kontaktdaten angeben müssen. Dort existiert auch eine Upload Link, mit dem wir unser Zertifikat hochladen können, was wir auch gemacht haben.
Das Zertifikat habe ich Testweise mal mit dem Programm xca erstellt.
Die Behörde hat das geprüft und freigegeben.
Nun kann der Mitarbeiter uns aber trotzdem keine verschlüsselten Mails schicken, mit anderen Partnern klappt das bei ihm problemlos.
Das heißt unser Zertifikat hat sicher ein irgendwo ein Problem.
Das wars auch schon mit meiner Weisheit.
Vielleicht hat ja jemand Erfahrungen mit dem Programm oder anderen. Da wir nur ein paar Leute sind würde ich das erstens halbwegs verstehen und zweitens eine eigene Lösung finden wollen.
danke
LÖSUNG 28.02.2020, aktualisiert um 15:46 Uhr
Das heißt unser Zertifikat hat sicher ein irgendwo ein Problem.
Dann hat's du es wohl mit den falschen Attributen ausgestellt. Können wir hier ja leider nicht sehen was du dabei verbockt hast.Außerdem müssen dann alle der CA vertrauen mit der du das Zertifikat ausgestellt hast und das kann schon ein Knackpunkt sein.
