dadave 0 Geschrieben 24. August 2013 Melden Teilen Geschrieben 24. August 2013 Hallo liebe Community Ich beschäftige mich momentan mit E-Mail Security mit eigener PKI. Momentan habe ich eine Testumgebung am laufen. Folgendes habe ich bereits gemacht: - Testdomäne (dmag.local) mit einem Domänencontroller - Zweiter Server (Domänenmitglied) als Root und Issueing CA (einstufige PKI) - PC in Domäne Der Domänencontroller und die CA laufen auf Server 2012. Ich konnte bereits Benutzerzertifikate verteilen. Nun stehe ich vor einem Problem: Ich wollte mit dem erstellten Zertifikat die Digitale Signatur im Outlook testen. Dazu verwende ich meinen Firmenaccount (Exchange 2010, andere Domäne). Diesen Firmenaccount habe ich im Testpc eingebunden (das Root-Zertifikat befindet sich also bereits im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen). Im ersten Schritt geht es mir nur um die digitale Signatur, noch nicht ums verschlüsseln. In den Outlook Optionen konnte ich meine Digitale ID erstellen (Import des Zertifikats als .pfx mit Private Key). Danach habe ich die Einstellungen für die Digitale Signatur getätigt (Signatur- und Verschlüsselungszertifikat ausgewählt, btw. ist übrigens genau das gleiche). Wenn ich nun eine Email versenden will und die digitale Signatur anwähle (nicht die Verschlüsselung) dann erhalten ich folgende Fehlermeldung: "Ungültiges Zertifikat Diese Nachricht kann von Microsoft Outlook weder verschlüsselt noch signiert werden, da keine Zertifikate für das Senden von Nachrichten von der Email Adresse "blabla@blabla.ch" (meine Firmenadresse) vorhanden sind. Fordern Sie entweder eine neue Digitale ID für dieses Konto an, oder verwenden Sie die Schaltfläche Konten, um die Nachricht mithilfe eines Kontos zu senden, für das Sie Zertifikate besitzen." Zusatzinfos: Die Zertifikatvorlage "Benutzer" wurde unverändert übernommen. Meine Vermutungen: Ich kann für die Digitale Signatur aus Outlook 2010/2013 kein Zertifikat verwenden, welches mit der Zertifikatvorlage Benutzer erstellt wurde. Die andere mögliche Fehlerquelle wäre meiner Meinung noch der produktive Exchange Server meiner Firma. Stehe ich auf dem Holzweg oder habe ich noch einige Abhängigkeiten, welche ich bisher nicht beachtet habe? Besten Dank für Eure Hilfe! Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 24. August 2013 Melden Teilen Geschrieben 24. August 2013 Na wenn das Emailfeld im Zertifikat anders lautet als deine Emailadresse im Outlook ist das doch klar. Upn Emailadresse usw. Solltest du schon auf deine Umgebung anpassen. Zitieren Link zu diesem Kommentar
dadave 0 Geschrieben 24. August 2013 Autor Melden Teilen Geschrieben 24. August 2013 Hi Danke für den Tip War also doch auf dem Holzweg, bin eben leider noch nicht sehr erfahren. Hast du einen Link zur Stelle, der beschreibt wie man das Zertifikat so anpassen kann, dass es funktioniert? Danke und Gruss Zitieren Link zu diesem Kommentar
dadave 0 Geschrieben 25. August 2013 Autor Melden Teilen Geschrieben 25. August 2013 Ok nun hat es geklappt. Ich habe eine neue Zertifikatvorlage auf Basis der existierenden Exchange-Benutzer Zertifikatvorlage erstellt. Ich habe mich an die Angaben von Brian Komar in seinem Buch gehalten und es hat geklappt. Zitieren Link zu diesem Kommentar
dadave 0 Geschrieben 6. Oktober 2013 Autor Melden Teilen Geschrieben 6. Oktober 2013 Hallo zusammen Nochmals eine Frage, die mir evtl. jemand beantworten kann. Ich bin dabei, E-Mail-Verschlüsselungszertifikate für Benutzer auszustellen. Das Ganze soll mittels Autoenrollment für Domainusers geschehen. Gibt es eine Möglichkeit, in Outlook eine digitale ID mit dem erhaltenen Zertifikat automatisch zu erstellen, sodass der User "keinen Finger krumm" machen muss? Autoenrollment sollte kein Problem darstellen, jedoch hab ich in meinen Recherchen noch keine Möglichkeit gesehen, die Outlookeinstellungen vollautomatisch (evtl. GPO oder Script?) zu deployen. Besten Dank und freundliche Grüsse dadave Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.