Jump to content

PKI Design


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

folgende Anforderungen müssen erfüllt werden.

 

- Öffentlich Zertifizierte CA

- Ausstellen von Zertifikaten für sichere Email

- Class 1 und 2 Zertifikate

- Einfaches Ausstellen der Zertifikate

- Für X Kunden

 

Hintergrund. Wir haben einen Kunden, welcher nun signierte EMails verschicken möchte. Nun möchte dieser seinen Kunden wiederum auch Zertifikate zur Verfügung stellen.

 

Wünschenwert wäre es, wenn wir eine CA Zur Verfügung haben, entweder eine eigene, oder eine von Verisign, TrustCenter, oder ähnliches., wir das Zertifikat für den Kunden beantragen. Dieses auf eine SmartCard speichern und dem Kunden zustellen.

 

Ähnlich wie es die Datev macht.

Nun haben wir uns bei Trustcenter informiert, für eine eigene zertifizierte CA wollen die 10.000 Euro pro Jahr haben.

 

Dies rechnet sich aber nicht.

Bei Verisign ist das beantragen der Zertifikate zu umständlich. Immer über die Onlineseite, dann wird das Zertifikat in den lokalen Store automatisch importiert, dort exportieren usw. - Viel zu umständlich.

 

Hat jemand eine Idee, wie wir dies am besten Lösen können?

(Es darf ruhig Geld kosten ;) )

Link zu diesem Kommentar

Überschaubar wäre das ganze schon. Ca 100 Firmen. Allerdings werden diese nicht von uns betreut. Sondern wir würden denen nur die Zertifikate für die Benutzer zur Verfügung stellen.

Denn die wenigsten IT Dienstleister haben sich überhaupt schoneinmal mit dem Thema PKI befasst.

 

 

 

Unser Zertifikat überall zu importieren wäre nicht so schön. Wobei die Datev das ja glaube genauso handhabt.

Link zu diesem Kommentar

Hi,

 

als alternative könntet Ihr auch die Zertifikate / Schlüssel der internen Issuing CAs von einer öffentlichen Zertifizierungsstelle beziehen und nicht alle Zertifikate. Damit ist die Root vertrauenswürdig und die anderen Firmen könnten Eure Zertifikate erfolgreich validieren. Gleiches gilt dann für die anderen Firmen.

 

Oder Ihr macht mit den CAs der anderen Unternehmen eine sogenannte Kreuzzertifizierung: Planning and Implementing Cross-Certification and Qualified Subordination Using Windows Server 2003 .

 

Viele Grüße

olc

Link zu diesem Kommentar

Hi,

 

also die Kunden werden keine eigene CA bekommen. Sorry falls ich mich da falsch ausgedrückt habe.

 

@OLC was meinst du mit Issuing CAs?

 

Es ist eben auch wichtig, das wenn der Kunde unseres Kunden Mails an seine Kunden schickt, diese ebenfalls öffentlich Vertrauenswürdig sind.

 

Daher müssen wir irgendwoher leicht Öffentlich vertrauenswürdige Zertifikate bekommen. Und das nicht für 10.000 Euro im Jahr ;)

Link zu diesem Kommentar

Hi,

 

stellt Ihr den Kunden denn Zertifikate mit Eurer CA aus? "Issuing" CA ist eine Zertifikat ausstellende CA.

 

Dienstleister zu dem Thema gibt es übrigens durchaus - nur haben die aufgrund der (fast schon) "Alleinstellung" bei gutem fachlichen PKI Know-How eben einen ordentlichen Tagessatz. Der ist bei dem Thema aber auch gut investiert...

 

Viele Grüße

olc

Link zu diesem Kommentar

Moin,

 

wenn ihr eine eigene CA als solche zertifizieren lassen wollt, werdet ihr überall in dem genannten Preisrahmen liegen. Das ist völlig normal. Schließlich könnt ihr damit selbst Geld verdienen.

 

Da eure Vorstellungen anscheinend noch sehr vage sind, solltet ihr euch mal einen Berater kommen lassen, der sich mit sowas auskennt (womit ich jetzt niemanden meine, der "schonmal eine CA installiert" hat).

 

Gruß, Nils

Link zu diesem Kommentar

Guten Morgen,

 

habe mich gestern bereits an Verisign gewandt. Mal schauen wann ich dort eine entsprechende Rückantwort erhalte.

 

@OLC: Stimmt jetzt wo du es sagst, kommt mir Issuing CA aus den MS Schulungen bekannt vor ;)

 

Also eine Issuing CA müssen wir nicht unbedingt selbst betreiben. Es würde uns schon ausreichen, irgendwo entsprechend Zertifikate zu beziehen zu können. Und dies ziemlich einfach im Sinne von wenig Verwaltungsaufwand.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...