planar
Goto Top

Zertifikat e-mail

Hallo,

ich bin gerade dabei mir einen Überblick zu verschaffen.
Es geht um Zertifikate um einen sicheren e-mail Verkehr mit Behörden oder ähnlichem zu gewährleisten.
Unser Mailverkehr läuft über Exchange.
Eine Behörde hat uns Zertifikate geschickt die wir in unserem System eingebunden haben und von uns aus per sicherem Mail Verkehr kommunizieren können. Das klappt auch.
Jetzt soll das andersherum auch geschehen, das heißt wir schicken der Behörde ein Zertifikat, so das Mails zu uns auch verschlüsselt versandt werden.

Das Zertifikat muss folgende Anforderungen erfüllen.

- X.509 V3 Standard
- erweiterte Schlüsselverwendung muss die Attribute "Schlüsselverschlüsselung" und "sichere E-Mail" enthalten
- die im Zertifikat (SubjectAltName) eingetragene E-Mail Adresse muss mit der eingeladenen Mail Adresse übereinstimmen

Es gibt ja Trustcenter die so etwas machen, gibt es auch freie Tools mit der man diese Zertifikate erstellen kann, bzw. könnt ihr etwas empfehlen.

Ich habe mich mit dem Thema bisher noch nicht auseinandergesetzt.


Vielen Dank Planar

Content-Key: 551343

Url: https://administrator.de/contentid/551343

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: 143127
143127 25.02.2020 aktualisiert um 12:29:03 Uhr
Goto Top
Macht das am besten gleich zentral über ein "Secure Mail Gateway" und nicht auf den Clients

NoSpamProxy welches das auch gleich miterledigt kann ich z.B. wärmstens weiterempfehlenn (Nein das ist keine Werbung, und ich werde auch nicht dafür bezahlt, dies spiegelt nur meine eigene Erfahrung mit dem Produkt wieder).
Mitglied: sabines
sabines 25.02.2020 um 12:35:03 Uhr
Goto Top
Yepp, so was lässt man ein Gateway erledigen bspw:
https://www.ciphermail.info/features.html
Mitglied: StefanKittel
StefanKittel 26.02.2020 um 07:15:32 Uhr
Goto Top
Hallo,

Zitat von @planar:
Es gibt ja Trustcenter die so etwas machen, gibt es auch freie Tools mit der man diese Zertifikate erstellen kann, bzw. könnt ihr etwas empfehlen.

Grundsätzlich kannst Du intern eine CA aufsetzen und Zertifikate selber erstellen.
Das ist nur eigentlich sinnbefreit denn alle Clients werden diese Zertifikate ablehnen solange die nicht Deine CA importiert haben.

Die Idee ist, dass Du Zertifikate bei einem Trustcenter kaufst dem alle Clients schon vertrauen.
Zertifikate von dem TC werden von alle Clients automatisch als vertrauenswürdig akzeptiert.

Das mit dem sMIME GW kann man machen, muss aber nicht. Wenn es nur wenige Clients sind kann man es auch so machen.
Außerdem gibt es durch das GW keine Ende-Zu-Ende-Verschlüsselung.

Stefan
Mitglied: sabines
sabines 26.02.2020 um 12:16:16 Uhr
Goto Top
Zitat von @StefanKittel:

Außerdem gibt es durch das GW keine Ende-Zu-Ende-Verschlüsselung.


Wie meinst Du das?
Mitglied: 143127
143127 26.02.2020 aktualisiert um 12:21:47 Uhr
Goto Top
Zitat von @sabines:

Zitat von @StefanKittel:

Außerdem gibt es durch das GW keine Ende-Zu-Ende-Verschlüsselung.


Wie meinst Du das?
Er meint damit das die Mail bereits auf dem Gateway entschlüsselt wird statt erst auf dem Client durch den Benutzer.
Mitglied: sabines
sabines 26.02.2020 um 12:24:06 Uhr
Goto Top
Das ist m.M. völlig ok und auch gut so, denn damit hast Du dann keine Probleme mehr mit den Mails im Haus.
Das Gateway liegt ja im Hoheisbereich des Unternehmens.

Das "andere" Szenario wäre jeder macht seine eigene Suppe und dann werden u.U. die Mails verschlüsselt gespeichert, dann kommt das PW/Zertifikat/User abhanden und keiner kann das noch lesen face-wink
Mitglied: planar
planar 28.02.2020 um 12:45:41 Uhr
Goto Top
Erstmal vielen Dank,

so ganz verstanden habe ich das noch nicht, wie gesagt es ist komplettes Neuland.

Die verschlüsselte Kommunikation von uns zur Behörde geht ja. Da hat uns die Behörde die Zertifikate bereitgestellt.

Um das auch andersherum zu machen hat der Ansprechpartner uns einen Link gesendet, dieser Link führt auf eine Seite auf der wir unsere Kontaktdaten angeben müssen. Dort existiert auch eine Upload Link, mit dem wir unser Zertifikat hochladen können, was wir auch gemacht haben.
Das Zertifikat habe ich Testweise mal mit dem Programm xca erstellt.
Die Behörde hat das geprüft und freigegeben.

Nun kann der Mitarbeiter uns aber trotzdem keine verschlüsselten Mails schicken, mit anderen Partnern klappt das bei ihm problemlos.
Das heißt unser Zertifikat hat sicher ein irgendwo ein Problem.

Das wars auch schon mit meiner Weisheit.
Vielleicht hat ja jemand Erfahrungen mit dem Programm oder anderen. Da wir nur ein paar Leute sind würde ich das erstens halbwegs verstehen und zweitens eine eigene Lösung finden wollen.

danke
Mitglied: 143127
143127 28.02.2020 aktualisiert um 15:46:07 Uhr
Goto Top
Das heißt unser Zertifikat hat sicher ein irgendwo ein Problem.
Dann hat's du es wohl mit den falschen Attributen ausgestellt. Können wir hier ja leider nicht sehen was du dabei verbockt hast.
Außerdem müssen dann alle der CA vertrauen mit der du das Zertifikat ausgestellt hast und das kann schon ein Knackpunkt sein.