Domainweites Mailzertifikat?

[cjmatsel 10]

Hi,

 

kennt jemand eine Möglichkeit eino offizielle Zertifizierung für eine ganze Maildomain zu nutzen? Ich möchte gern alle unsere Mails von Mitarbeitern signieren und ggf. verschlüsseln, aber gern domain-weit. Oder muss ich wirklich die ganze Liste von Namen an den Zertifizierer durchgeben?

 

cu,

cjmatsel

[NorbertFe 2.034]

Wenn du es richtig machen willst, wirst du für jeden User ein Zertifikat anfordern. Ein "einzelzertifikat" erfordert das umschreiben der absenderadresse und damit kommt nicht jeder Client klar. Außerdem ist der Sinn und Zweck normalerweise ja das "vertrauen" der Kommunikationspartner. Und das geht prinzipbedingt nicht mit nur einem Zertifikat. ;)

[magheinz 110]

Die frage ist: warum willst du das machen?

Qualifizierte Signaturen wirst du so nicht verwenden können.

Wenn es genügt sicherzustellen das eine E-Mail aus der Firma kommt und es unwichtig ist welcher Mitarbeiter die geschrieben hat dann geht das zentrale signieren

Wenn es genügt sicherzustellen das nur Firmenmitarbeiter die E-Mails entschlüsseln können und es unwichtig ist das auf Mitarbeiter runterzubrechen dann geht auch das zentrale Verschlüsseln.

 

Dafür gibt komplett fertige appliances z.b. von zertificon. Die können dann S/MIME, PGP etc.

 

1. Nachteil: Die E-Mails liegen unverschlüsselt in den Postausgangsordnern

2. Nachteil: Du brauchst Empfänger die öffentliche Schlüssel anbieten.

[NorbertFe 2.034]

Wieso ist zweitens eine Voraussetzung für den Einsatz von appliances. Zertificon kann übrigens alles, und nicht nur zentral mit einem Zertifikat und selbst die Raten davon ab, ein gemeinsames Zertifikat zu verwenden.

[magheinz 110]

Ok, dann kann zertificon mehr als ich dachte.

Ich kenne das system nicht selber sonder bin nur durch eine verschlüsselte E-Mail die ich bekommen habe darauf gestoßen.

 

2. Ist eine Voraussetzung die AUCH für appliances gilt. Jetzt mal von exotischen Verschlüsselungsverfahren abgesehen.

 

Das problem mit persönlichen Schlüssel n und einer Appliance ist das die keys sann entweder ungeschützt rumliegen oder jemand ausser mir das Passwort kennen muss. Schon ist dr eigentliche Zweck nicht mehr gegeben.

[NorbertFe 2.034]

Aber ich, da wir sowas im Einsatz haben ;)

In einer Appliance muß der PK nicht zwingend "ungeschützt" rumliegen. Das kann man auch entsprechend auf HSM auslagern. Und wie gesagt, Zertificon kann auch End-to-End wenn man will und bezahlt.

 

Das mit den öffentlichen Schlüsseln ist logisch bei asymmetrischer Verschlüsselung, oder?

[cjmatsel 10]

Hi,

ich habe ciphermail als zentrale Verschlüsselungs-Appliance und es wäre schön wenn ich dort nicht jeden Benutzer einzeln eintragen muss...

Ich würde gern von magheinz die angesprochenen Punkte so umsetzen. Die Frage ist nun: Wie komme ich an so ein Zertifikat bzw. was muss ich beim Bestellen eines solchen Zertifikates beachten?

[NorbertFe 2.034]

Tja gut, wenn man mal Anleitungen lesen würde. ;)

Technically a domain certificate is nothing special – it is a standard X.509v3 e-mail certificate issued

by a Certificate Authority (CA). The single difference: The certificate owner is not a single person but

an organization or company and the certificate is issued with a distinguished name that can look like:

C=DE, O=Sample Company, CN=Sample Company certificate. If Z1 SecureMail signs an outgoing

e-mail with its domain key, the recipient will see that the e-mail is signed by an organization and not

by an individual person. Furthermore, for proper work with Z1 SecureMail, the certificate must also be

issued to a central e-mail address such as securemail@samplecompany.de. This recipient will work

as a central secretary that receives e-mails and forwards them to the right recipient in your local area

network.

Zitat aus den Zertificon Manuals. Wie wärs also, wenn du einfach mal den Hersteller deine Appliance so eine Frage stellst? Kostet schliesslich GEld, oder? Achnee, sicher die Community Edition ;)

https://www.ciphermail.com/gateway.html

 

Bye

Norbert