16
Einfache Outlook Verschlüsselung für interne Mails
Hallo Leute,
ich habe mich mit dem Thema S/MIME, PGP, Privat und Public key, sowie dem Prinzip der Signierung, asymetrischen und symetrischen Verschlüsselung beschäftig.
Ich verstehe jetzt die ganze Theorie aber ich will nur das 3 Mitarbeiter (Outlook 2007 am Exchange 2007) sich Gehälter oder Kalkulationen gegenseitig schicken können ohne das ein Stellvertretter oder ich als Admin oder son wer dran kommt.
Wie und wo erstelle dich diese Zertifkate, damit der User sich bei der neuen Mail unter Mailoptionen dieses auswählen kann ?
Gruß
uLmi
ich habe mich mit dem Thema S/MIME, PGP, Privat und Public key, sowie dem Prinzip der Signierung, asymetrischen und symetrischen Verschlüsselung beschäftig.
Ich verstehe jetzt die ganze Theorie aber ich will nur das 3 Mitarbeiter (Outlook 2007 am Exchange 2007) sich Gehälter oder Kalkulationen gegenseitig schicken können ohne das ein Stellvertretter oder ich als Admin oder son wer dran kommt.
Wie und wo erstelle dich diese Zertifkate, damit der User sich bei der neuen Mail unter Mailoptionen dieses auswählen kann ?
Gruß
uLmi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 181240
Url: https://administrator.de/contentid/181240
Printed on: April 23, 2024 at 23:04 o'clock
16 Comments
Latest comment
Hallo,
Schau mal. Vielleicht ist das etwas für Dich
Link: http://www.trustcenter.de/solutions/secure_e_mail.htm
MFG
Schau mal. Vielleicht ist das etwas für Dich
Link: http://www.trustcenter.de/solutions/secure_e_mail.htm
MFG
kann ich mir nicht selber für intern 3 zertifikate für jeden User erstellen ?
Hi uLmi,
du könntest sowas über den Windows eigenen Zertifiaktsdienst abbilden. Dazu die Rolle entsprechend auf einem extra Server installieren - das ist wichtig.
Grüße,
Dani
du könntest sowas über den Windows eigenen Zertifiaktsdienst abbilden. Dazu die Rolle entsprechend auf einem extra Server installieren - das ist wichtig.
Grüße,
Dani
Also ich könnte dann als Administrator trotzdem noch diese Mails lesen, wenn ich wollte. Und das ohne großen Aufwand.
Du solltest besser in Richtung passwortgeschützten und/oder verschlüsselten Anhang gehen.
Du solltest besser in Richtung passwortgeschützten und/oder verschlüsselten Anhang gehen.
warum muss ich die Rolle auf einem server installieren ? kann ich nicht einfach die Zertifikate auf dem Server erstellen wo die Rolle bereits läuft ?
Klar geht auch.. bloß auf dem Server gelten dann ein paar EInschränkungen, z.B. du kannst den Computer nicht umbenennen.
Grüße,
Dani
Grüße,
Dani
du meinst ich kann den client nicht mehr umbenennen ? das wäre nicht so tragisch ..
also ich erstelle am server einfach ein Zertifikat für alle User mit Namen, PC namen etc und installiere diese dann auf dem jeweiligen Client.
der Server stellt dann wohl die CA dar oder ?
Gruß und Danke
uLmi
also ich erstelle am server einfach ein Zertifikat für alle User mit Namen, PC namen etc und installiere diese dann auf dem jeweiligen Client.
der Server stellt dann wohl die CA dar oder ?
Gruß und Danke
uLmi
du meinst ich kann den client nicht mehr umbenennen ? das wäre nicht so tragisch..
Ich meinte den Servercomputernamen.also ich erstelle am server einfach ein Zertifikat für alle User mit Namen, PC namen etc und installiere diese dann auf dem jeweiligen Client.
Du wirst das Zertifikat entweder auf den Rechner oder Benutzer ausstellen können. Beides geht nicht! Erstell dir dazu einfach zwei Testbenutzer und spiel damit. Wichtig, spiel die Zertifikate auch unter dem Benutzer und nicht auf dem Computerkonto auf dem Client ein!Grüße,
Dani
du meinst wenn ich den server umbenne sind die zertifikate ungültig oder ist das feld "computername" unter eigenschaften von computer danach ausgegraut 
Ich denke, es geht um Mailverschlüsselung? Wozu braucht er dann Computer-Zertifikate?
Wenn auf einem Server eine Zertifizierunsgstelle installiert ist, dann kann man den nicht mehr umbenennen, weil sonst die Zertifizierungstelle nicht mehr funktioniert und somit die Clients bei Bedarf die Gültigkeit der Zertifikate nicht mehr überprüfen können.
Wenn man eine Microsoft Enterprise CA aufbaut, dann werden per default die Root-Zertifiakte automatisch an die Clients verteilt, da kann man also bei der Installation nichts falsch machen. Es sei denn, man fummelt dran rum. Dann muss man aber auch wissen, wo.
Wenn man für den Benutzer Zertifikate für Mail-Signierung und -Verschlüsselung erstellt und verteilt, dann kann man (er) die auch einfach so installieren mit "automatisch Speicherort wählen" oder s.ä. Da kann man auch nichts falsch machen.
Aber einen Hinweis noch. Wenn es das Ziel ist, dass Administratoren keine Mails mit vertraulichen Inhalten lesen können, so ist das nur begrenzt sicher. Bei der Mailverschlüsselung geht es nicht vorrangig darum, im Ziel-System die Mail verschlüsselt im Speicher liegen zu haben, sondern darum, dass die Mails auf dem Transportweg nicht mitgelesen werden können. Wenn ich als Admin das ganze Systenm verwalte (Domäne, CA, Mailserver), dann kann ich mir i.A. auch Zugriff auf diese Inhalte verschaffen, wenn ich das will (und kann). Allein Zertifikate nützen da nichts. da muss noch was her mit Passwörtern oder Prüfdateien oder oder ... Und da scheint mir der Weg über die Verschlüsselung der Anhänge unabhängig vom Mailssystem zu gehen.
Wenn auf einem Server eine Zertifizierunsgstelle installiert ist, dann kann man den nicht mehr umbenennen, weil sonst die Zertifizierungstelle nicht mehr funktioniert und somit die Clients bei Bedarf die Gültigkeit der Zertifikate nicht mehr überprüfen können.
Wenn man eine Microsoft Enterprise CA aufbaut, dann werden per default die Root-Zertifiakte automatisch an die Clients verteilt, da kann man also bei der Installation nichts falsch machen. Es sei denn, man fummelt dran rum. Dann muss man aber auch wissen, wo.
Wenn man für den Benutzer Zertifikate für Mail-Signierung und -Verschlüsselung erstellt und verteilt, dann kann man (er) die auch einfach so installieren mit "automatisch Speicherort wählen" oder s.ä. Da kann man auch nichts falsch machen.
Aber einen Hinweis noch. Wenn es das Ziel ist, dass Administratoren keine Mails mit vertraulichen Inhalten lesen können, so ist das nur begrenzt sicher. Bei der Mailverschlüsselung geht es nicht vorrangig darum, im Ziel-System die Mail verschlüsselt im Speicher liegen zu haben, sondern darum, dass die Mails auf dem Transportweg nicht mitgelesen werden können. Wenn ich als Admin das ganze Systenm verwalte (Domäne, CA, Mailserver), dann kann ich mir i.A. auch Zugriff auf diese Inhalte verschaffen, wenn ich das will (und kann). Allein Zertifikate nützen da nichts. da muss noch was her mit Passwörtern oder Prüfdateien oder oder ... Und da scheint mir der Weg über die Verschlüsselung der Anhänge unabhängig vom Mailssystem zu gehen.
Hi,
es geht darum: 1 person auf der Finanzabteilung, 1 eine Person auf der Personalabteilung sollen dem jeweiligen Abteilungsleiter Gehaltsdaten schicken können ohne, dass andere (zb. stellvertretter die auf das Postfach zugriff haben) die Mails einsehen können.
Die sache, dass ich als admin die sachen nicht sehen soll ist völlig unwichtig.
Gruß
uLmi
es geht darum: 1 person auf der Finanzabteilung, 1 eine Person auf der Personalabteilung sollen dem jeweiligen Abteilungsleiter Gehaltsdaten schicken können ohne, dass andere (zb. stellvertretter die auf das Postfach zugriff haben) die Mails einsehen können.
Die sache, dass ich als admin die sachen nicht sehen soll ist völlig unwichtig.
Gruß
uLmi
Dann hast Du das aber falsch formuliert ...
kann mir einer sagen wo ich das UserZertifikat erstellen kann ? ich finde es zum verrecken nicht 
Geh einfach auf http://servername/certsrv/ und wähle bei Vorlage Benutzer aus. Wichtig ist, dass muss der Benutzer machen, der es auch benötigt. Du als Admin bringst da nicht viel...
dani mein lieblings-betraggeber
so weit war ich auch schon aber der server wo die cert rollen laufen bietet diese seite nicht an
Edit: / Schwachsinn der Server hatte die Rolle wirklich nicht
so weit war ich auch schon aber der server wo die cert rollen laufen bietet diese seite nicht an
Edit: / Schwachsinn der Server hatte die Rolle wirklich nicht
Hallo nochmal,
ich rolle das Thema wieder auf und möchte es es jetzt mal beenden...
ich habe die hauptrolle für die Zertifizierung auf einem Server installiert.
jetzt möchte ich die Webregistrierungsrollen installieren und dafür benötige ich ein SystemKonto um die anfragen gegenüber dem IIS zu autorisieren.
Dieser SystemUser muss teil der Domäne sein (okay ist er) und teil der lokalen Gruppe (IIS_IUSRS) sein.
hier fängt das Problem an, der Zert Server ist auch ein Domaincontroller und lässt mich gar nicht auf die lokalen User und Gruppen zugreifen
wie kann ich diesen Domänen User auf diesem Server lokal das Recht verpassen, trotz DC ?
kann ich das ganze NICHT auf einem DC installieren ?
soll ich einfach die NICHT empfohlene alternative (Anwendungspoolidentität anstelle eines Benutzerkontos verwenden) nehmen ?
danke und viele Grüße,
uLmi
ich rolle das Thema wieder auf und möchte es es jetzt mal beenden...
ich habe die hauptrolle für die Zertifizierung auf einem Server installiert.
jetzt möchte ich die Webregistrierungsrollen installieren und dafür benötige ich ein SystemKonto um die anfragen gegenüber dem IIS zu autorisieren.
Dieser SystemUser muss teil der Domäne sein (okay ist er) und teil der lokalen Gruppe (IIS_IUSRS) sein.
hier fängt das Problem an, der Zert Server ist auch ein Domaincontroller und lässt mich gar nicht auf die lokalen User und Gruppen zugreifen
wie kann ich diesen Domänen User auf diesem Server lokal das Recht verpassen, trotz DC ?
kann ich das ganze NICHT auf einem DC installieren ?
soll ich einfach die NICHT empfohlene alternative (Anwendungspoolidentität anstelle eines Benutzerkontos verwenden) nehmen ?
danke und viele Grüße,
uLmi
