Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Grundsatzfrage zu Clientzertifikaten für Email

Frage Sicherheit

Mitglied: StefanKittel

StefanKittel (Level 4) - Jetzt verbinden

06.08.2011 um 16:52 Uhr, 3955 Aufrufe, 7 Kommentare

Hallo,
ich beschäftige mich gerade mit dem Thema "verschlüsselte Emails mit SMIME" für einzelne Kunden.
Also nicht als Gateway, sondern nur Clientzertifikate.
Basis soll ein OpenSSL Server unter Debian sein.

Aber was für ein Zertifikat benötige man dafür?
Ich möchte keines selber ausstellen, damit die Email-Programme der Empfänger die Zertifikate grundsätzlich als Zertrauenswürdig einstufen.

Für 99% Browser reicht ja schon ein Commodo Instant SSL für 30 Euro im Jahr.
Aber kann ich damit auch Client-Zertifikate für andere Domänen austellen?

Das Zertifikat lautet auf *.isp.de.
Und jetzt möchte ich gerne 30 Zertifikate für 30 Kunden mit 30 verschiedene Email-Adressen in 30 verschiedenen Domänen ausstellen.
benutzerA@firma1.de
benutzerB@firma2.de
benutzerC@firma3.de

Reicht es, wenn cert.isp.de Zertifiziert ist?

Ich hoffe das ist verständlich

Danke

Stefan
Mitglied: filippg
06.08.2011 um 20:23 Uhr
Hallo,

bei einem Zertifikat ist mit angegeben, wofür es verwendet werden darf. Mit Zertifikaten, die du normalerweise von TrustCentern bekommst, ist das signieren weiterer Zertifikate nicht möglich. Das hat einen gewissen Sinn: Sonst würden sich die CAs ja selbst ihr Geschäft kaputt machen. Außerdem wären Zertifikate dann gar nicht mehr vertrauenswürdig, jeder könnte beliebige ausstellen.
Manche CAs verkaufen auch Zertifikate, mit denen weitere ausgestellt werden können. Die Bedinungen & Preise dafür sind m.W. ziemlich hart. Aber frage doch mal bei http://www.globalsign.com/certificate-authority-root-signing/microsoft- ... ein Angebot an (und teile dann doch mal grobe Konditionen mit).

Gruß

Filipp
Bitte warten ..
Mitglied: StefanKittel
06.08.2011 um 20:54 Uhr
Hallo Filipp,

das macht Sinn.
Eine Anfrage beim Anbieter meines Vertrauens habe ich schon gestellt, aber da WE kommt da wohl erst Montag eine Antwort.

Dann sehe ich 3 Alternativen.

1) Für jede Domäne ein Zertifikat
Was für ein Zertifikat brauch ich denn dafür? Oder kann das jedes?

2) Eigenes CA root Zertifikat und alle müssen es einmal installieren
-> doof

3) Email-Adresse mit "meiner" Domäne
-> auch doof

Danke

Stefan
Bitte warten ..
Mitglied: filippg
06.08.2011 um 21:03 Uhr
Hallo,

1) Für jede Domäne ein Zertifikat
Was für ein Zertifikat brauch ich denn dafür? Oder kann das jedes?
Verstehe ich nicht. Es geht doch um S/MIME, oder? Dann brauchst du für jede EMail-Adresse ein Zertifikat.
Grundsätzlich gibt es für S/MIME auch etwas wie Domänenzertifikate. D.h. du signierst alle ausgehenden EMails mit dem gleichen Zertifikat/Public Key. Funktioniert aber mit Outlook nicht (bräuchtest also ein Gateway), akzeptieren potentiell nicht alle Clients und macht auch Probleme, wenn man verschlüsselte Mails empfangen will.

2) Eigenes CA root Zertifikat und alle müssen es einmal installieren
-> doof
Ja.

3) Email-Adresse mit "meiner" Domäne
-> auch doof
Meinst du damit die oben von mir beschriebene Variante mit Domänenzertifikat?

Gatewayprodukte haben meist auch Konnektoren zum Zertifikatsbezug bei großen Anbietern integriert. D.h. die Zeritifkate werden z.B. von Comodo ausgestellt (sind also vertrauenswürdig), aber es geht automatisiert.

Gruß

Filipp
Bitte warten ..
Mitglied: StefanKittel
06.08.2011 um 21:28 Uhr
Hallo Filipp,

1) ich kaufe für jede Kundendomäne ein einfaches günstiges Zertifikat. Wie z.B. Comodo Instant SSL.
Kann ich damit dann Zertifikate für benutzer1@kunden_domain.de, benutzer2@kunden_domain.de und benutzer3@kunden_domain.de erstellen?

3) Der Kunde verwendet statt benutzer1@kunden_domain.de dann benutzer1@meine_domain.de.
-> noch dööfer

Stefan
Bitte warten ..
Mitglied: filippg
07.08.2011 um 18:35 Uhr
Hallo,

1) ich kaufe für jede Kundendomäne ein einfaches günstiges Zertifikat. Wie z.B. Comodo Instant SSL.
Kann ich damit dann Zertifikate für benutzer1@kunden_domain.de, benutzer2@kunden_domain.de und benutzer3@kunden_domain.de
erstellen?
Nein. Siehe oben: "Mit Zertifikaten, die du normalerweise von TrustCentern bekommst, ist das signieren weiterer Zertifikate nicht möglich.".

3) Der Kunde verwendet statt benutzer1@kunden_domain.de dann benutzer1@meine_domain.de.
-> noch dööfer
Nochmal: "Es geht doch um S/MIME, oder? Dann brauchst du für jede EMail-Adresse ein Zertifikat.". Ein Zertifikat @kundendomain.de zu kaufen, und dann damit benutzer1@kundendomain.de und benutzer2@kundendomain zu erstellen geht nicht.

Gruß

Filipp
Bitte warten ..
Mitglied: StefanKittel
07.08.2011 um 21:15 Uhr
Hallo Filipp,

schade aber nachvollziehbar.

Danke

Stefan
Bitte warten ..
Mitglied: AndiEoh
24.10.2011 um 14:17 Uhr
Auch wenn das Ganze schon etwas älter ist...
Für S/MIME (Client Zertifikate) gibt es bei den unten aufgeführten Links zumindest für den "privatgebrauch" kostenlos (e-Mail validiert). Die root-CAs sind im Windows Zertifikat Store integriert (vertraut), d.h. damit signierte/verschlüsselte Mails sollten zumindest bei Windows zentrierten Empfängern keine Probleme bereiten.

http://www.trustcenter.de/products/tc_internet_id.htm
http://www.startssl.com/?app=1

Gruß

Andi
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Exchange Server
Exchange 2013 - Primäre eMail Adresse ändern (7)

Frage von staybb zum Thema Exchange Server ...

Exchange Server
gelöst Neue email auf sbs 2011 geht nur mit internen emailabsendern (6)

Frage von jensgebken zum Thema Exchange Server ...

E-Mail
Responsive Email Designer (2)

Frage von MegaGiga zum Thema E-Mail ...

Windows Server
gelöst Wie füge ich diesem Script die Email Adresse hinzu (16)

Frage von rainergugus zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (22)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...