kosta88 2 Geschrieben 5. April 2018 Melden Teilen Geschrieben 5. April 2018 (bearbeitet) Hallo, wir sollen unsere 20 Rechner bzw. 30 Email Adresse mit S/MIME Zertifikaten bestücken. Kann ich das irgendwie tun, ohne auf jeden einzelnen Rechner zu gehen und die Zertifikate importieren und im Outlook zuweisen? Und das jede 3 Jahre, nachdem die Zertifikate ablaufen? Und wenn ich denke dass manche Outlooks bis zu 10 Postfächer eingebunden haben... Denn, ich muss auch die privaten Schüssel importieren, und da muss man das Kennwort eintippen...(deswegen denke ich eine Verteilung via GPO wird nicht funktionieren). Outlook-Import funktioniert soweit ich weiß auch nicht... Ein weiteres Problem ist nämlich dass wir größtenteils auf einer RDS-Farm via Citrix arbeiten (Outlook ist auch dort), und diese Farm/Citrix wird nicht von mir verwaltet, und ich eine Intermediate-CA nicht einsetzen kann (wäre das eventuell eine plausible Lösung). Gibt's ne Lösung, oder bin auf den manuellen Import jede 3 Jahre angewiesen? bearbeitet 5. April 2018 von kosta88 Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 5. April 2018 Melden Teilen Geschrieben 5. April 2018 vor einer Stunde schrieb kosta88: Hallo, wir sollen unsere 20 Rechner bzw. 30 Email Adresse mit S/MIME Zertifikaten bestücken. Kann ich das irgendwie tun, ohne auf jeden einzelnen Rechner zu gehen und die Zertifikate importieren und im Outlook zuweisen? Und das jede 3 Jahre, nachdem die Zertifikate ablaufen? Und wenn ich denke dass manche Outlooks bis zu 10 Postfächer eingebunden haben... Denn, ich muss auch die privaten Schüssel importieren, und da muss man das Kennwort eintippen...(deswegen denke ich eine Verteilung via GPO wird nicht funktionieren). Outlook-Import funktioniert soweit ich weiß auch nicht... Ein weiteres Problem ist nämlich dass wir größtenteils auf einer RDS-Farm via Citrix arbeiten (Outlook ist auch dort), und diese Farm/Citrix wird nicht von mir verwaltet, und ich eine Intermediate-CA nicht einsetzen kann (wäre das eventuell eine plausible Lösung). Gibt's ne Lösung, oder bin auf den manuellen Import jede 3 Jahre angewiesen? Das sollen persönliche Zertifikate der User werden? Wenn Ihr das richtig macht dann hast du ja die privaten Keys gar nicht! Den Import muss schon der User selber machen. Der muss ja auch das Zertifikat beantragen. Magnus Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 5. April 2018 Melden Teilen Geschrieben 5. April 2018 vor einer Stunde schrieb magheinz: Wenn Ihr das richtig macht dann hast du ja die privaten Keys gar nicht! Womit ja dann schon ein Fakt geklärt wäre, oder? :) Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 5. April 2018 Melden Teilen Geschrieben 5. April 2018 Es muss ja nicht jeder meiner Prämisse folgen. Man kann sowas durchaus anders machen. Wird halt schei**e. Das hat aber noch jemanden an irgendwas gehindert... Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 5. April 2018 Autor Melden Teilen Geschrieben 5. April 2018 Reden wir bitte kurz mal Klartext. Was mache ich falsch? Wie sollte es ablaufen? Ich kann doch nicht meinen von meinen Usern verlangen dass sie die Zertifikate bspw. von Comodo selber anfordern und installieren...? Derzeit testen wir die Zertifikate in einem kleinen Kreis der Mitarbeiter, und die Zertifikate habe ich nachdem ich sie aus meinem IE geholt habe, komplett (.pfx) in unserem Passwortsafe abgelegt. Die Zertifikate konnte ich dann händisch im Windows-Store am RDS eintragen (via IE, da ich keinen Zugriff zum zertlm habe) und zusätzlich in Outlook importieren. Sollte es anders und einfacher ablaufen, bitte um konkrete Vorschläge. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 5. April 2018 Melden Teilen Geschrieben 5. April 2018 vor 3 Minuten schrieb kosta88: Ich kann doch nicht meinen von meinen Usern verlangen dass sie die Zertifikate bspw. von Comodo selber anfordern und installieren...? Warum nicht? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 5. April 2018 Melden Teilen Geschrieben 5. April 2018 Die user müssen einen Key erzeugen. Damit generieren sie eine Zertifikatsanforderung. Diese signiert dann Die Registrierungsstelle und stellt das Zertifikat aus. Ob du das die Leute händisch per openssl, powershelle what ever, per webinterface mit javascript etc machen lässt oder sonst ein Tool einsetzt kommt auf die Anforderungen an. Wenn die Anforderungen richtig Streng sind liegen die Keys auf einer Smartcard. Wichtig ist nur das niemand ausser dem Zertifikatsinhaber den Key in die Hände bekommt. Zum Schutz kann man den mit einem Passwort versehen um bei Verlust auf einer halbwegs sicheren Seite zu sein. Ein Admin der Zugriff auf die keys und Zertifikate hat der kann ja alles damit anstellen was er will. Das geht einfach gar nicht und widerspricht dem ganzen Prinzip. Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 5. April 2018 Autor Melden Teilen Geschrieben 5. April 2018 (bearbeitet) vor 2 Stunden schrieb NorbertFe: Warum nicht? Weil wie ich meine Tussis kenne, selber was in IT zu machen ist nix... auch wenn ich es vom Rechner des Users machen muss, muss ICH es machen. Vielleicht 5 von 20 schaffen (und wollen) es überhaupt machen. Chef inklusive. vor 2 Stunden schrieb magheinz: Die user müssen einen Key erzeugen. Damit generieren sie eine Zertifikatsanforderung. Diese signiert dann Die Registrierungsstelle und stellt das Zertifikat aus. Ob du das die Leute händisch per openssl, powershelle what ever, per webinterface mit javascript etc machen lässt oder sonst ein Tool einsetzt kommt auf die Anforderungen an. Wenn die Anforderungen richtig Streng sind liegen die Keys auf einer Smartcard. Wichtig ist nur das niemand ausser dem Zertifikatsinhaber den Key in die Hände bekommt. Zum Schutz kann man den mit einem Passwort versehen um bei Verlust auf einer halbwegs sicheren Seite zu sein. Ein Admin der Zugriff auf die keys und Zertifikate hat der kann ja alles damit anstellen was er will. Das geht einfach gar nicht und widerspricht dem ganzen Prinzip. Danke. Ja grundlegend muss es aus dem Profil des Users gemacht werden. Und die aktuellen Zertifikate mit denen gestartet wird, werden sowieso dann gelöscht (revoked). Was ist mit den allgemeinen E-Mail Adressen, zB. info@ oder office@ ? Wer stellt diese Zertifikate aus? bearbeitet 5. April 2018 von kosta88 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 5. April 2018 Melden Teilen Geschrieben 5. April 2018 Dann wäre wahrscheinlich eine Gateway Lösung die sinnvollere Variante für euch. Alles andere ist dann auch nur "Wunschdenken", dass Nutzer das verwenden können. 1 Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 5. April 2018 Melden Teilen Geschrieben 5. April 2018 Moin, ihr habt hier gerade sehr schön die Gründe diskutiert, warum sich Mailverschlüsselung nicht durchsetzt ... ... und tatsächlich stimme ich Norbert zu, dass wahrscheinlich die einzig praktikable Lösung eine Gateway-Verschlüsselung ist. Das ist dann nicht Ende-zu-Ende, aber immerhin Unternehmen-zu-Unternehmen. Gruß, Nils Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 5. April 2018 Melden Teilen Geschrieben 5. April 2018 Man kann Sicherheit eben nur durch viel Geld oder viel Unbequemlichkeit erreichen. Es gibt durchaus Lösungen die Nutzertauglich sind und z.B. mit Smartcards o.ä. arbeiten. Nutzt man die gleich für eine 2-Faktor-Authentifizierung gewöhnen sich die User auch an die Nutzung. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 5. April 2018 Melden Teilen Geschrieben 5. April 2018 vor 13 Minuten schrieb magheinz: nur durch viel Geld oder viel Unbequemlichkeit erreichen. oder/und. :) Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 5. April 2018 Melden Teilen Geschrieben 5. April 2018 vor 26 Minuten schrieb NilsK: Das ist dann nicht Ende-zu-Ende, aber immerhin Unternehmen-zu-Unternehmen. Bin heute auf das Zertificon Ende-zu-Ende Gateway gestoßen: https://www.zertificon.com/loesungen/ende-zu-ende-verschluesselung Allerdings habe ich da bis jetzt nur die Web Site zu gelesen. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 5. April 2018 Melden Teilen Geschrieben 5. April 2018 Heute schon?! Das steht da schon einige Jahre. ;) Ich habe bisher keinen Kunden der das Modul im Einsatz hat, deswegen kann ich leider auch nix aus der Praxis erzählen. Das Produkt (Zertificon Z1) an sich funktioniert aber stressfrei und hab ich mehrfach im Einsatz. Bye Norbert Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 5. April 2018 Melden Teilen Geschrieben 5. April 2018 Ja, doch, schon heute. :-D Eigentlich regeln wir das bei 90% unserer Kunden mit einer DATEV Lösung (DATEVnet E-Mail-Verschlüsselung). Allerdings kam da heute nochmal eine Anfrage zu Alternativen und da bin ich nochmal bei Zertificon vorbei und habe für mich das Ende zu Ende Gateway entdeckt. Kannte es tatsächlich noch nicht. Und war dann wohl schon länger nicht mehr auf deren Internetseite. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.