stefankittel
Goto Top

Grundsatzfrage zu Clientzertifikaten für Email

Hallo,
ich beschäftige mich gerade mit dem Thema "verschlüsselte Emails mit SMIME" für einzelne Kunden.
Also nicht als Gateway, sondern nur Clientzertifikate.
Basis soll ein OpenSSL Server unter Debian sein.

Aber was für ein Zertifikat benötige man dafür?
Ich möchte keines selber ausstellen, damit die Email-Programme der Empfänger die Zertifikate grundsätzlich als Zertrauenswürdig einstufen.

Für 99% Browser reicht ja schon ein Commodo Instant SSL für 30 Euro im Jahr.
Aber kann ich damit auch Client-Zertifikate für andere Domänen austellen?

Das Zertifikat lautet auf *.isp.de.
Und jetzt möchte ich gerne 30 Zertifikate für 30 Kunden mit 30 verschiedene Email-Adressen in 30 verschiedenen Domänen ausstellen.
benutzerA@firma1.de
benutzerB@firma2.de
benutzerC@firma3.de

Reicht es, wenn cert.isp.de Zertifiziert ist?

Ich hoffe das ist verständlich face-smile

Danke

Stefan

Content-Key: 171042

Url: https://administrator.de/contentid/171042

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: filippg
filippg 06.08.2011 um 20:23:40 Uhr
Goto Top
Hallo,

bei einem Zertifikat ist mit angegeben, wofür es verwendet werden darf. Mit Zertifikaten, die du normalerweise von TrustCentern bekommst, ist das signieren weiterer Zertifikate nicht möglich. Das hat einen gewissen Sinn: Sonst würden sich die CAs ja selbst ihr Geschäft kaputt machen. Außerdem wären Zertifikate dann gar nicht mehr vertrauenswürdig, jeder könnte beliebige ausstellen.
Manche CAs verkaufen auch Zertifikate, mit denen weitere ausgestellt werden können. Die Bedinungen & Preise dafür sind m.W. ziemlich hart. Aber frage doch mal bei http://www.globalsign.com/certificate-authority-root-signing/microsoft- ... ein Angebot an (und teile dann doch mal grobe Konditionen mit).

Gruß

Filipp
Mitglied: StefanKittel
StefanKittel 06.08.2011 um 20:54:58 Uhr
Goto Top
Hallo Filipp,

das macht Sinn.
Eine Anfrage beim Anbieter meines Vertrauens habe ich schon gestellt, aber da WE kommt da wohl erst Montag eine Antwort.

Dann sehe ich 3 Alternativen.

1) Für jede Domäne ein Zertifikat
Was für ein Zertifikat brauch ich denn dafür? Oder kann das jedes?

2) Eigenes CA root Zertifikat und alle müssen es einmal installieren
-> doof

3) Email-Adresse mit "meiner" Domäne
-> auch doof

Danke

Stefan
Mitglied: filippg
filippg 06.08.2011 um 21:03:55 Uhr
Goto Top
Hallo,

1) Für jede Domäne ein Zertifikat
Was für ein Zertifikat brauch ich denn dafür? Oder kann das jedes?
Verstehe ich nicht. Es geht doch um S/MIME, oder? Dann brauchst du für jede EMail-Adresse ein Zertifikat.
Grundsätzlich gibt es für S/MIME auch etwas wie Domänenzertifikate. D.h. du signierst alle ausgehenden EMails mit dem gleichen Zertifikat/Public Key. Funktioniert aber mit Outlook nicht (bräuchtest also ein Gateway), akzeptieren potentiell nicht alle Clients und macht auch Probleme, wenn man verschlüsselte Mails empfangen will.

2) Eigenes CA root Zertifikat und alle müssen es einmal installieren
-> doof
Ja.

3) Email-Adresse mit "meiner" Domäne
-> auch doof
Meinst du damit die oben von mir beschriebene Variante mit Domänenzertifikat?

Gatewayprodukte haben meist auch Konnektoren zum Zertifikatsbezug bei großen Anbietern integriert. D.h. die Zeritifkate werden z.B. von Comodo ausgestellt (sind also vertrauenswürdig), aber es geht automatisiert.

Gruß

Filipp
Mitglied: StefanKittel
StefanKittel 06.08.2011 um 21:28:23 Uhr
Goto Top
Hallo Filipp,

1) ich kaufe für jede Kundendomäne ein einfaches günstiges Zertifikat. Wie z.B. Comodo Instant SSL.
Kann ich damit dann Zertifikate für benutzer1@kunden_domain.de, benutzer2@kunden_domain.de und benutzer3@kunden_domain.de erstellen?

3) Der Kunde verwendet statt benutzer1@kunden_domain.de dann benutzer1@meine_domain.de.
-> noch dööfer

Stefan
Mitglied: filippg
filippg 07.08.2011 um 18:35:12 Uhr
Goto Top
Hallo,

1) ich kaufe für jede Kundendomäne ein einfaches günstiges Zertifikat. Wie z.B. Comodo Instant SSL.
Kann ich damit dann Zertifikate für benutzer1@kunden_domain.de, benutzer2@kunden_domain.de und benutzer3@kunden_domain.de
erstellen?
Nein. Siehe oben: "Mit Zertifikaten, die du normalerweise von TrustCentern bekommst, ist das signieren weiterer Zertifikate nicht möglich.".

3) Der Kunde verwendet statt benutzer1@kunden_domain.de dann benutzer1@meine_domain.de.
-> noch dööfer
Nochmal: "Es geht doch um S/MIME, oder? Dann brauchst du für jede EMail-Adresse ein Zertifikat.". Ein Zertifikat @kundendomain.de zu kaufen, und dann damit benutzer1@kundendomain.de und benutzer2@kundendomain zu erstellen geht nicht.

Gruß

Filipp
Mitglied: StefanKittel
StefanKittel 07.08.2011 um 21:15:35 Uhr
Goto Top
Hallo Filipp,

schade aber nachvollziehbar.

Danke

Stefan
Mitglied: AndiEoh
AndiEoh 24.10.2011 um 14:17:11 Uhr
Goto Top
Auch wenn das Ganze schon etwas älter ist...
Für S/MIME (Client Zertifikate) gibt es bei den unten aufgeführten Links zumindest für den "privatgebrauch" kostenlos (e-Mail validiert). Die root-CAs sind im Windows Zertifikat Store integriert (vertraut), d.h. damit signierte/verschlüsselte Mails sollten zumindest bei Windows zentrierten Empfängern keine Probleme bereiten.

http://www.trustcenter.de/products/tc_internet_id.htm
http://www.startssl.com/?app=1

Gruß

Andi