malkie
Goto Top

Zertifikate für das signieren von Dokumenten für jeden Mitarbeiter erstellen, Lösungsansatz

Guten Tag,

ich suche eine Lösung um Dokumente Digital zu signieren.
Und zwar würde gerne einer unserer Kunden jedem Mitarbeiter ein eindeutiges Zertifikat geben, mit dem er auch Rechnung und Belege digital signieren kann.
Dazu würden wir gerne die entsprechende CA sein, wenn das möglich ist und so bereits beim Anlegen neuer Mitarbeiter diese entsprechend auch mit Ihrem Zertifikat ausstatten.

Jetzt ist die Frage, was ihr hier empfiehlt.
Eine CA erstellen und entsprechen das Root Zertifikat verteilen und die personenbezogenen Zertifikate erstellen, oder doch eine professionelle Lösung nutzen, und wenn ja welche?

Viele Grüße

Content-ID: 1696030437

Url: https://administrator.de/forum/zertifikate-fuer-das-signieren-von-dokumenten-fuer-jeden-mitarbeiter-erstellen-loesungsansatz-1696030437.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

wiesi200
wiesi200 06.01.2022 um 15:04:27 Uhr
Goto Top
Hallo,

Theoretisch könnte ihr die Zertifikate in einer Windows Umgebung mit dessen Cert Server automatisch erstellen und verteilen.

in wieweit euch das eigene Zertifikat für andere was bringt steht auf nem anderen Blatt, aber das ist ein grundsätzliches Problem wenn ihr selbst die aufstellt
DerWoWusste
DerWoWusste 06.01.2022 um 15:10:48 Uhr
Goto Top
Wenn ihr die Belege nur intern nützt, spricht alles für die interne CA. Ist das so?
malkie
malkie 06.01.2022 um 15:16:43 Uhr
Goto Top
Aktuell ja. Die Kunden wollen erstmal alles nur intern. Es geht bei den Zertifikaten erstmal darum, dass die Mitarbeiter nicht ihre Unterschrift einscannen und als Bild einfügen und somit jeder der das Bild hat unterschreiben kann, sondern dass es entsprechend über Zertifikate stattfindet und das die Mitarbeiter Passwort eingeben müssen, entsprechend.
DerWoWusste
DerWoWusste 06.01.2022 um 15:25:41 Uhr
Goto Top
Das geht alles mit internen Mitteln, ja. Bleibt die Nutzung denn dauerhaft nur hausintern? Wenn nicht, wäre eine externe Signatur besser (aber kostspielig).
malkie
malkie 06.01.2022 um 15:27:16 Uhr
Goto Top
Empfehlungen für einen externen Anbieter?
BruceWilless
BruceWilless 06.01.2022 um 17:18:13 Uhr
Goto Top
Guten Malkie,

Schau dir mal die Frima Yubico und den Yubikey an.
Damit kannst du Signieren und für mehrere Sachen anwenden. Dazu dient er ganz gut zur Sicherheit der Dokumente.....
DerWoWusste
DerWoWusste 06.01.2022 um 17:20:20 Uhr
Goto Top
Äh, aber der Yubikey bringt doch keine Zertifikate mit, denen weltweit vertraut wird, oder?
BruceWilless
BruceWilless 06.01.2022 um 17:35:58 Uhr
Goto Top
Das natürlich nicht.
Aber es lassen sich Win. Zertifikate sehr gut absichern und kann zur Unterschrift - Zertifikat bezogen einsetzten.
DerWoWusste
DerWoWusste 06.01.2022 um 17:38:27 Uhr
Goto Top
Anbsicherbar sind die auch bei lokaler Speicherung mit Kennwort.

An den Autoren: wir haben mal bei Allgeir IT welche gekauft. Sind teuer, 130€ pro Jahr, glaube ich.
em-pie
em-pie 07.01.2022 um 07:13:11 Uhr
Goto Top
Moin,

Bin - zugegeben - kein Zertifikatsexperte, daher meine Idee auch mehr als Frage:

Könnte es funktionieren, wenn man sich ein Wildcard-Zertifikat für *.company.tld kauft, intern eine CA aufsetzt, bei der der Server nicht zur Domain gehört und auf ca.company.tld hört (aber wirklich nur intern erreichbar ist) und man dort das Wildcard-Zertifikat einspielt?
Von der CA könnten dann ja Zertifikate für *.company.Local erstellt werden (bewusst .local, um die Trennung hervorzuheben)!?
Oder müssen Externe trotzdem meine eigene CA in den vertrauenswürdigen Zertifikaten abgelegt werden?

Wie gesagt, nur ein Gedankenspiel, da ich selbst nicht hinreichend tief in der ganzen Thematik stecke.
Dani
Dani 08.01.2022 aktualisiert um 14:26:49 Uhr
Goto Top
@em-pie
Könnte es funktionieren, wenn man sich ein Wildcard-Zertifikat für *.company.tld kauft, intern eine CA aufsetzt, bei der der Server nicht zur Domain gehört und auf ca.company.tld hört (aber wirklich nur intern erreichbar ist) und man dort das Wildcard-Zertifikat einspielt?
Wenn das ginge, wäre das der Hammer. Aber es liegt an der Art des Zertifikats. In den Eigenschaften siehtst du deren Verwendngszweck. In der Regel steht dort Server Authentication, Client Authentication.

Du müsstest deine eigene Zertifizierungsstelle valdidieren und bestätigen lassen (Eigene SubCA bestätigen lassen). Alternativ eine Managed PKI von den einschlägigen Zertifizierungstellen TeleSec, SwissSign, GlobalSign, etc. Egal für welche Lösung man sich entscheidet, es wird nicht günstig.

@malkie
Empfehlungen für einen externen Anbieter?
Wenn es deutsche oder vertrauliche Anbieter in Europa sein soll: TeleSec, D-Trust oder SwissSign.
Es geht bei 50,00€/Jahr pro Person los. Hängt jedoch auch davon ab, welche Anforderungen und Rahmenbedingungen (z.B. qualifizierte Signatur, etc.) erfüllt werden sollen/müssen.


Gruß,
Dani
em-pie
em-pie 08.01.2022 um 21:17:12 Uhr
Goto Top
@Dani
Danke dir. Klingt einleuchtend!
j1m3e84
j1m3e84 23.09.2022 um 13:04:45 Uhr
Goto Top
Zitat von @wiesi200:

Hallo,

Theoretisch könnte ihr die Zertifikate in einer Windows Umgebung mit dessen Cert Server automatisch erstellen und verteilen.

in wieweit euch das eigene Zertifikat für andere was bringt steht auf nem anderen Blatt, aber das ist ein grundsätzliches Problem wenn ihr selbst die aufstellt

Hallo,

wie funktioniert das? Kannst du da kurz was dazu schreiben?

VG und danke im Voraus!