Möglichkeiten der Ablage von SMIME Zertifikaten

1. offizieller Beitrag

    Hallo zusammen,


    bei uns haben mehrere User SMIME Zertifikate von StartSSL, die zur Signierung von Mails verwendet werden. Bietet der Exchange Server 2007 die Möglichkeit die Ablage dieser Zertifikate zu zentralisieren?
    Oder ist die Signierung/Verschlüsselung nur möglich wenn sich das Zertifikat auf dem Client befindet?
    Was ich mir vorstelle ist, dass jeder User sein Zertifikat hochlädt (Exchange oder vielleicht auch AD?!), und beim Erstellen einer Mail, die signiert werden soll, das Zertifikat automatisch aus dem Exchange/AD gezogen wird.


    Gibt es da Lösungen?

    • Offizieller Beitrag

    Hallo und Willkommen im Forum!


    Ich kenne bisher nur serverbasierte Verschlüsselungs-Gateways, die die S/MIME-Zertifikate zentral verwalten.
    In Deinem Fall wirst Du sie auf dem Client installieren müssen, ist ja aber kein Hexenwerk.
    Ist im Übrigen auch eine Frage der Sicherheit, End2End-Security setzt m.E. voraus, dass die Zertifikate in der Verantwortung des Anwenders liegen. Diese auf Smartcard hätte auch keine Alternative.

    Danke für die nette Begrüßung! :)


    Ok, das heißt dann also, dass es mit den StartSSL-Zertifikaten nicht möglich ist, eine zentrale Verwaltung zu realisieren. Jeder Anwender ist für sein Zertifikat selbst verantwortlich.
    Das das Installieren kein Hexenwerk ist, ist schon klar, aber man mag es halt bequem, nicht wahr? ;)


    Ich habe auch schon einiges gegoogelt, aber nichts gefunden was mir weiterhilft. Vielleicht sind es auch die falschen Suchbegriffe.
    Wie regeln das denn große Firmen?! Die werden sicherlich nicht die Anwender die Zertifikate selbst irgendwo erstellen lassen. Die haben doch sicher eine eigene PKI die einen anerkannten Root hat. Wie funktioniert es da mit Zertifikaten?
    Muss der Anwender letztendlich doch eins erstellen, und dann in eigener Verantwortung installieren? Wenn es weg ist, ist es dann halt weg?

    • Offizieller Beitrag

    Hallo,


    vielleicht ist das was für dich:


    TechNet Support WebCast: Best Practices for Public Key Infrastructure: Steps to build an offline root certification authority (part 1 of 2)
    http://support.microsoft.com/kb/896733/en-us


    TechNet Support WebCast: Best practices for Public Key Infrastructure: Setting up an offline subordinate and an online enterprise subordinate (part 2 of 2)
    http://support.microsoft.com/kb/896737/en-us


    :)

    • Offizieller Beitrag

    Moin,


    Du kannst die öffentlichen Keys auch nachträglich in AD aufnehmen (AD-Benutzer und Computer -> erweiterte Ansicht -> Ansicht eines Benutzers).


    Aber dies musst Du pro User machen, dauert also etwas. Damit können die anderen User das Zertifikat zum Verschlüsseln nutzen.


    Lokal musst Du es aber manuell installieren, solange Du keine der von Nobby gezeigten integrierten PKI-Lösungen von MS benutzt. Theoretisch kannst Du dort Zertifikate vollautomatischen erstellen und verteilen - praktisch stehen leider nur die nicht gerade geringen Kosten dagegen... :(

    Nobby
    Danke für die Links. Ich werde da mal später reinschauen. Ich denke nachdem ich den Eintrag von RobertW gelesen habe, dass mir das nicht helfen wird.


    Bietet denn die MS PKI Lösung die Möglichkeit, die erstellten Zertifikate zentral zur Verfügung zu stellen, sodass der Client sich nicht darum kümmern muss (Zertifikat-Installation clientseitig)?


    Ich glaube das Problem ist, das wir einerseits kostenlose Zertifikate (= clientbasierte Verschlüsselung), zusätzlich aber die Annehmlichkeiten einer PKI (= Gateway basierte Verschlüsselung) nutzen wollen. So wie ich das verstehe, vermische ich hier zwei Welten. Entweder das eine, oder das andere, aber nicht PKI mit Zertifikaten von einer anderen Zertifizierungsstelle.
    Sehe ich das richtig?

    • Offizieller Beitrag
    Zitat


    Bietet denn die MS PKI Lösung die Möglichkeit, die erstellten Zertifikate zentral zur Verfügung zu stellen, sodass der Client sich nicht darum kümmern muss (Zertifikat-Installation clientseitig)?


    Ja, wie ich schon in meinem letzten Absatz schrieb.


    Zitat


    Ich glaube das Problem ist, das wir einerseits kostenlose Zertifikate (= clientbasierte Verschlüsselung), zusätzlich aber die Annehmlichkeiten einer PKI (= Gateway basierte Verschlüsselung) nutzen wollen.


    Eine PKI ist *keine* Gateway-Verschlüsselung.


    Eine PKI wird dazu benutzt, Certifikate, Certifikatsdienste und organisatorische Abläuft (z.B. Identitätsfeststellungen) zu regeln (siehe auch hier: http://de.wikipedia.org/wiki/Public-Key-Infrastruktur)


    Zitat


    So wie ich das verstehe, vermische ich hier zwei Welten. Entweder das eine, oder das andere, aber nicht PKI mit Zertifikaten von einer anderen Zertifizierungsstelle.
    Sehe ich das richtig?


    Du vermischst extrem viel.... :(


    Du kannst:
    - eine eigene PKI aufbauen, ist unter Windows sehr komfortabel, aber teuer
    - kostenlose Zertifikate verwenden, ist billig aber unkomfortabel


    Alles hat aber *nicht* mit Gateway-Verschlüsselung zu tun, das ist eine ganz andere Geschichte und mit Bordmittel weder mit der Windows-PKI noch mit Exchange machbar.

    Ähm, ich weiss jetzt nicht genau ob das weiterhilft. Ich verwende das Zertifikat von startssl class1 bei allen von mir installierten Exchange Servern. Nach dem Update der Root Zertifikate bei MS Updates (muss manuell ausgewählt werden), musste ich auf den Clients keine CA mehr installieren, die war dann in den Vertrauenswürdigen vorhanden. Das MIME Zertifikat wird dann auch als vertrauenswürdig angezeigt. Ich habe micht jetzt nich mit deinem Problem befasst, war einfach so ein Gedanke beim durchlesen.


    Gruss
    Dominik

    Vielen Dank für Eure Antworten,


    ihr habt mir wirklich sehr weiter geholfen und ein ganzes Stück Licht ins Dunkel gebracht! :)
    Inzwischen konnte ich meine Gedanken ein wenig entzerren und in die richtige Ordnung bringen!


    Ich werde nun in Richtung SecureMail-Gateway weiterschauen...