felkr 11 Geschrieben 30. September 2014 Melden Teilen Geschrieben 30. September 2014 Hallo, ich bin mir nicht ganz sicher ob meine überlegungen richtig sind deshalb frage ich lieber nochmal nach. Ich würde gerne die Mailverschlüsselung verwenden. Also auf Zertifikat Basis so das ich den öffentlichen Schlüsse (.cer) mitschicke und meine Gegenstelle mir mit diesem Schlüssel verschlüsselte Mails schicken kann. Dies kann ich ja mit meinem Privaten Schlüssel entschlüsseln. Bis jetzt habe ich nur gefunden wie das in Outlook funktioniert (einem Kontakt das Zertifikat hinzufügen .cer Datei) Damit meine ich den Öfentlichen Schlüssel des Empfängers. Aber wie funktioniert das wenn ich in einer Exchange 2010 Umgebung bin. Muss ich dann eine Zertifizierungsstelle installieren und dann eine neues Exchange Zertifikat erstellen und das über diese Stelle zertifizieren lassen so das ich am Ende eine .cer Datei habe? Also eine eigene die ich mitschicke. Wird diese dann automatisch mitgeschickt? Oder muss ich Outlook sagen das er die .cer Datei mitschicken soll? Bekomme ich Probleme wenn ich eine eigene Zertifikatsstelle betreibe? Das geht ja mit Microsoft Boardmitteln recht gut. Oder sehen das andere Admins als unsicher an? Danke schonmal :-) Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 1. Oktober 2014 Melden Teilen Geschrieben 1. Oktober 2014 Moin, mit Exchange funktioniert das grundsätzlich erstmal genauso. Die Verschlüsselung ist (wenn man von OWA absieht) ein Client-Thema. Du musst Dich also darum kümmern, dass der Absender Deinen öffentlichen Schlüssel bekommt. Entweder schickst Du ihm den oder Du signierst Deine Mails. Da ist dann normalerweise automatisch der öffentliche Schlüssel dabei (den der andere aber noch verarbeiten muss). Wenn Du bei reinen internen Mails die Arbeit erleichtern willst, kannst Du den öffentlichen Schlüssel über das AD (in den Eigenschaften des Benutzerkontos) hinterlegen. Dann kann Outlook den automatisch nehmen. Den daran, dass bei Outlook Absender und Empfänger ein Zertifikat brauchen! Eine eigene CA brauchst Du dafür nicht. Wenn Du keine extern signierten Zertifikate nimmst, wird natürlich jeder außerhalb Deines ADs die Zertifikate als fehlerhaft ansehen. Ob und wie die anderen Admins damit umgehen, kann man aber nicht vorhersagen. Bei dedizierten Kontakten habe ich schon erlebt, dass die Leute sich die Zertifikate ausgetauscht haben und die Fehler ignorieren (bzw. die gegenüberliegenden Stamm-Certs akzeptieren, ein sog. Cross Trust). Zitieren Link zu diesem Kommentar
felkr 11 Geschrieben 1. Oktober 2014 Autor Melden Teilen Geschrieben 1. Oktober 2014 Danke Robert, das war die Erklärung die ich gebraucht habe :-) Kannst du mir noch eine Zertifizierungsstelle empfehlen? Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 1. Oktober 2014 Melden Teilen Geschrieben 1. Oktober 2014 Moin, das ist im Endeffekt Geschmackssache. kostenlose, aber nur ein Jahr gültige, gibt es z.B. hier: www.startssl.com Zertifikate, die länger laufen sollen oder wo ich andere Aussteller brauche, kaufe ich meistens hier: www.psw.net Die sind preislich ok, haben aber notfalls einen deutschen Support. 1 Zitieren Link zu diesem Kommentar
felkr 11 Geschrieben 1. Oktober 2014 Autor Melden Teilen Geschrieben 1. Oktober 2014 Danke schonmal :-) Ich habe noch eine weitere Verständnis Frage, kann ich darüber auch die User also die End zu End Verschlüsslung machen? Was ist da das beste vorgehen? Was ich meine ist ich brauche doch dann für jeden einzelnen Benutzer eine eigene .cer oder? Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 1. Oktober 2014 Melden Teilen Geschrieben 1. Oktober 2014 Deine Verschlüsselung ist das, was man allgemein unter "Ende-zu-Ende" Verschlüsselung versteht. Natürlich braucht da jeder ein Zertifikat, denn neben der Verschlüsselung ist auch die Authentizität eine Funktion von Zertifikaten (die sog. Signatur). Zitieren Link zu diesem Kommentar
felkr 11 Geschrieben 1. Oktober 2014 Autor Melden Teilen Geschrieben 1. Oktober 2014 Okay verstehe ich. Muss ich dann für jeden Benutzer ein eigenes Zertifikat kaufen? Oder reicht eins? Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 1. Oktober 2014 Melden Teilen Geschrieben 1. Oktober 2014 (bearbeitet) Die Frage ist, was Du machen willst. Bei einer einfachen TLS-Verschlüsselung reicht ein Zertifikat für alle Verbindungen. Du willst aber eine persönliche Ende-zu-Ende Verschlüsselung. Die ist dann natürlich User-bezogen: http://de.wikipedia.org/wiki/S/MIME bearbeitet 1. Oktober 2014 von zahni Zitieren Link zu diesem Kommentar
NilsK 2.938 Geschrieben 1. Oktober 2014 Melden Teilen Geschrieben 1. Oktober 2014 Moin, für die hier diskutierte Form der Verschlüsselung braucht jeder einzelne User ein eigenes Zertifikat. Es gibt serverbasierte Lösungen, die als Gateway arbeiten können. Das erspart den Anwendern das Zertifikats-Management (hat allerdings auch konzeptionelle Nachteile). In solche Lösungen kann man manchmal spezielle "Zertifikats-Pakete" einbinden, die bei Bedarf für User Zertifikate erzeugen. Das ist dann bei entsprechenden Mengen günstiger als Einzelzertifikate. Bedenke aber immer, dass auch die Gegenseite Zertifikate braucht und damit umgehen können muss. In der Praxis scheitert es daran am häufigsten. Gruß, Nils Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 1. Oktober 2014 Melden Teilen Geschrieben 1. Oktober 2014 Bedenke aber immer, dass auch die Gegenseite Zertifikate braucht und damit umgehen können muss. In der Praxis scheitert es daran am häufigsten. Korrekt und mit ein Grund, warum ich irgendwann mein eigenes Mail-Zertifikat nicht mehr verlängert habe. Mit der Signatur konnte niemand was anfangen und verschlüsselt wurde nichts. :( Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.