StefanWe 14 Geschrieben 14. Januar 2010 Melden Teilen Geschrieben 14. Januar 2010 Hi, wir haben einen Kunden, der seine Mails signieren möchte. Dazu haben wir nun testweise bei Verisign ein 60Tage Benutzerzertifikat beantragt. Nun habe ich ja meine *.pfx Datei mit dem Cert und dem Privaten Schlüssel. Wie bekomme ich dieses Zertifikat, bzw. für die anderen Benutzer die Zertifikate automatisch im Netzwerk ausgerollt, ohne es an jedem Client manuell zu importieren? Für eine eigene CA auf Basis Win 2003/2008 Enterprise ist das Unternehmen zu klein. Daher wollten wir für die User einzelne Zertifikate bei Verisign beantragen. Oder bin ich auf einem Holzweg, so dass das Ausrollen nur über eigene CA funktioniert ? Da ich ja beim Import des Privaten Schlüssels das Kennwort eingeben muss. PS: Mailclient ist Outlook 2003, angebunden an Exchange 2003. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 14. Januar 2010 Autor Melden Teilen Geschrieben 14. Januar 2010 Ok, habe nun eine Lösung gefunden. In Das Loginscript folgendes schreiben: certutil -ImportPFX -user -p passwort \\server\freigabe\%username%.pfx Nachtrag: Kennt jemand eine Möglichkeit mittels GPO die E-Mail Sicherheitseinstellungen zu editieren? Da ich zwar so das Zertifikat in den Lokalen Store bekomme, aber trotzdem noch zu jedem User rennen muss und ihm seine Sicherheitseinstellungen festlegen muss. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 14. Januar 2010 Melden Teilen Geschrieben 14. Januar 2010 Hi, daß das Kennwort im Klartext auf der Serverfreigabe liegt, bereitet Dir keien Kopfschmerzen? Was nützt Signierung, wenn sich jeder Prozess (also auch Schädlinge) das PFX inkl. des Kennworts unter den Nagel reißen können? Bezüglich der Sicherheitseinstellungen: Prüfe einmal die Office ADMX Dateien / Vorlagen. Falls nicht vorhanden, reicht im Normalfall eine Dokumentation für die Benutzer, die Ihnen die 5 Klicks zeigt. Viele Grüße olc Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 14. Januar 2010 Autor Melden Teilen Geschrieben 14. Januar 2010 Hi, bzgl des Kennwortes hast du natürlich recht. Allerdings wollte ich die PFX Dateien nur in der Zeit dort liegen lassen, bis sich die User den Morgen angemeldet haben und danach die Freigabe wieder zumachen. Das Verteilen über die GPO funktioniert ja leider nicht. Jedenfalls nicht ohne Enterprise CA. Bzgl. den ADM Dateien von Outlook, konnte ich leider nichts finden. Das mit der Doku versuch ich ja vor mir herzuschieben. Aber ich glaube mir bleibt nichts anderes über, oder hat noch jemand eine Idee? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 14. Januar 2010 Melden Teilen Geschrieben 14. Januar 2010 Hi, auch wenn es nur 10 Sekunden wären, wäre diese Zeit der Verteilung inkl. des Kennworts zu viel. Insbesondere, wenn es bei dem Vorhaben um Sicherheit geht... ;) Es gibt mit Sicherheit ADM / ADMX Vorlagen. Schau einmal in den folgenden Artikel (recht weit unten): Using S/MIME in Microsoft Outlook Viele Grüße olc Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 15. Januar 2010 Autor Melden Teilen Geschrieben 15. Januar 2010 Guten Morgen, ja die ADM gibt es, aber dort kann ich nicht das Standardsicherheitsprofil einstellen, welches Zertifikat der User nutzen soll. Das Problem ist ja, das jeder User auf Optionen->Sicherheit klicken muss und dort einmal auf Einstellungen und unten das Zertifikat auswählen. Dies würde ich gerne über eine GPO Lösen, doch leider finde ich hierzu keine Einstellungen. Ich kann ledigleich festlegen, das jede Mail Automatisch siginiert wird, oder die URL der CA. Bzw. der Zertifikatsverteilung. Welche Möglichkeit habe ich denn ansonsten, die Certs automatisch und sicher zu verteilen ? Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 15. Januar 2010 Autor Melden Teilen Geschrieben 15. Januar 2010 OK, das Outlook Problem hat sich entsprechend auch erledigt. Es sollten schon die Stammzertifizierungszertifikate installiert sein. Dann legt Outlook beim ersten Versenden einer signierten Nachricht ein Sicherheitsprofil für das eigene Cert an. Funktioniert hervoragend. Jetzt nur noch die Frage: Wie sollte ich am Sinnvollsten die Benutzer Certs automatisch und vor allem "sicher" ausrollen ? Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 OK, das Outlook Problem hat sich entsprechend auch erledigt. Es sollten schon die Stammzertifizierungszertifikate installiert sein. Dann legt Outlook beim ersten Versenden einer signierten Nachricht ein Sicherheitsprofil für das eigene Cert an. Funktioniert hervoragend. Jetzt nur noch die Frage: Wie sollte ich am Sinnvollsten die Benutzer Certs automatisch und vor allem "sicher" ausrollen ? Gar nicht, denn der Sinn und Zweck eines Zertifikats ist ja, dass man den User identifizieren kann, der das Zertifikat erhalten soll. ;) SCNR Bye Norbert Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 15. Januar 2010 Autor Melden Teilen Geschrieben 15. Januar 2010 Mh, nun soll man sich aber mal ein Unternehmen mit mehreren 100 Usern vorstellen. Und jeder soll sich selbst darum kümmern, sich das CA bei der Internen CA zu registrieren und zu installieren? Das wird ja nie bei der Menge funktionieren... Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 Du hast schonmal ein PKI Rollout in einem Unternehmen mit mehreren 1000 Usern erlebt? Bye Norbert Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 15. Januar 2010 Autor Melden Teilen Geschrieben 15. Januar 2010 ähm nö ;) Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 Ich zitier mal aus dem DFN. ;) http://www.pki.dfn.de/fileadmin/PKI/DFN-PKI_CP_v21.pdf 3.2.3 Authentifizierung einer natürlichen Person Für die Authentifizierung der Identität einer natürlichen Person gibt es die folgenden Verfahren. a) Der Zertifikatnehmer erscheint persönlich bei einer zuständigen RA. Ein Mitarbeiter der RA führt die Identitätsprüfung anhand eines amtlichen Ausweispapiers mit Lichtbild (Personalausweis oder Reisepass) durch. b) Die Authentifizierung einer natürlichen Person wird durch einen geeigneten Dienstleister vorgenommen, der eine persönliche Identitätsprüfung anhand eines amtlichen Ausweispapiers mit Lichtbild (Personalausweis oder Reisepass) durchführt und entsprechend dokumentiert. Die genutzte Dienstleistung muss entweder über eine Konformitätsbestätigung für die Umsetzung von Sicherheitskonzepten durch eine von der Bundesnetzagentur [bNA] anerkannten Prüf- und Bestätigungsstelle verfügen oder ein konformes Verhalten muss durch vertragliche Regelungen verpflichtend gemacht werden. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 15. Januar 2010 Autor Melden Teilen Geschrieben 15. Januar 2010 ok gewonnen ;) Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 15. Januar 2010 Autor Melden Teilen Geschrieben 15. Januar 2010 Bzgl. der Verteilung von Zertifikaten habe ich noch eine Frage. Man kann ja nun über die Gruppenrichtlinie "Vertrauenswürdige Stammzertifikate" verteilen. Ich habe hier nun ein Class 1 Verisign Zertifikat, das in den Benutzer Store unter Vertrauenswürdige Stammzertifikate muss. Nun habe ich den GPO Editor geöffnet und möchte unterhalb von Benutzerkonfiguration->WindowsEinstellungen->Sicherheitseinstellungen->RichtlinienÖffentlicherSchlüssel->Unternehmensvertrauen das Verisign Zertifikat einbinden. ****erweise kann ich dort keine cer Dateien einbinden. In der Computerkonfiguration funktioniert dies aber schon. Welche Möglichkeit habe ich denn hier, das Zertifikat per GPO in den Store zu schieben ? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 Hi, warum soll das Root Zertifikat nur in den Benutzer Trusted Root Store importiert werden? Es ist vollkommen in Ordnung, es in den Computer Bereich zu importieren. Dann steht es jedem Benutzer der Maschine als "trusted" zur Verfügung. Und noch einmal in aller Deutlichkeit: Die derzeitige Verteilung der Zertifikate + privaten Schlüssel ist absolut unsicher und ich empfehle Dir, das in der Form nicht durchzuführen. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.