Jump to content

Umgang mit Zertifikaten in Outlook

kosta88

Von kosta88
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

kosta88 Experienced

kosta88   2

Geschrieben
Geschrieben (bearbeitet)

Hallo,

 

wir sollen unsere 20 Rechner bzw. 30 Email Adresse mit S/MIME Zertifikaten bestücken.

Kann ich das irgendwie tun, ohne auf jeden einzelnen Rechner zu gehen und die Zertifikate importieren und im Outlook zuweisen? Und das jede 3 Jahre, nachdem die Zertifikate ablaufen? Und wenn ich denke dass manche Outlooks bis zu 10 Postfächer eingebunden haben...

 

Denn, ich muss auch die privaten Schüssel importieren, und da muss man das Kennwort eintippen...(deswegen denke ich eine Verteilung via GPO wird nicht funktionieren).

Outlook-Import funktioniert soweit ich weiß auch nicht...

 

Ein weiteres Problem ist nämlich dass wir größtenteils auf einer RDS-Farm via Citrix arbeiten (Outlook ist auch dort), und diese Farm/Citrix wird nicht von mir verwaltet, und ich eine Intermediate-CA nicht einsetzen kann (wäre das eventuell eine plausible Lösung).

 

Gibt's ne Lösung, oder bin auf den manuellen Import jede 3 Jahre angewiesen?

bearbeitet von kosta88
Link zu diesem Kommentar
magheinz Veteran

magheinz   110

Geschrieben
Geschrieben
vor einer Stunde schrieb kosta88:
 

Hallo,

 

wir sollen unsere 20 Rechner bzw. 30 Email Adresse mit S/MIME Zertifikaten bestücken.

Kann ich das irgendwie tun, ohne auf jeden einzelnen Rechner zu gehen und die Zertifikate importieren und im Outlook zuweisen? Und das jede 3 Jahre, nachdem die Zertifikate ablaufen? Und wenn ich denke dass manche Outlooks bis zu 10 Postfächer eingebunden haben...

 

Denn, ich muss auch die privaten Schüssel importieren, und da muss man das Kennwort eintippen...(deswegen denke ich eine Verteilung via GPO wird nicht funktionieren).

Outlook-Import funktioniert soweit ich weiß auch nicht...

 

Ein weiteres Problem ist nämlich dass wir größtenteils auf einer RDS-Farm via Citrix arbeiten (Outlook ist auch dort), und diese Farm/Citrix wird nicht von mir verwaltet, und ich eine Intermediate-CA nicht einsetzen kann (wäre das eventuell eine plausible Lösung).

 

Gibt's ne Lösung, oder bin auf den manuellen Import jede 3 Jahre angewiesen?

Das sollen persönliche Zertifikate der User werden?

Wenn Ihr das richtig macht dann hast du ja die privaten Keys gar nicht! Den Import muss schon der User selber machen. Der muss ja auch das Zertifikat beantragen.

 

Magnus

Link zu diesem Kommentar
kosta88 Experienced

kosta88   2

Geschrieben
  • Autor
Geschrieben

Reden wir bitte kurz mal Klartext. Was mache ich falsch? Wie sollte es ablaufen?

Ich kann doch nicht meinen von meinen Usern verlangen dass sie die Zertifikate bspw. von Comodo selber anfordern und installieren...?

 

Derzeit testen wir die Zertifikate in einem kleinen Kreis der Mitarbeiter, und die Zertifikate habe ich nachdem ich sie aus meinem IE geholt habe, komplett (.pfx) in unserem Passwortsafe abgelegt. Die Zertifikate konnte ich dann händisch im Windows-Store am RDS eintragen (via IE, da ich keinen Zugriff zum zertlm habe) und zusätzlich in Outlook importieren.

 

Sollte es anders und einfacher ablaufen, bitte um konkrete Vorschläge.

Link zu diesem Kommentar
magheinz Veteran

magheinz   110

Geschrieben
Geschrieben

Die user müssen einen Key erzeugen.

Damit generieren sie eine Zertifikatsanforderung.

Diese signiert dann Die Registrierungsstelle und stellt das Zertifikat aus.

 

Ob du das die Leute händisch per openssl, powershelle what ever, per webinterface mit javascript etc machen lässt oder sonst ein Tool einsetzt kommt auf die Anforderungen an.

Wenn die Anforderungen richtig Streng sind liegen die Keys auf einer Smartcard.

Wichtig ist nur das niemand ausser dem Zertifikatsinhaber den Key in die Hände bekommt. Zum Schutz kann man den mit einem Passwort versehen um bei Verlust auf einer halbwegs sicheren Seite zu sein.

 

Ein Admin der Zugriff auf die keys und Zertifikate hat der kann ja alles damit anstellen was er will. Das geht einfach gar nicht und widerspricht dem ganzen Prinzip.

Link zu diesem Kommentar
kosta88 Experienced

kosta88   2

Geschrieben
  • Autor
Geschrieben (bearbeitet)
vor 2 Stunden schrieb NorbertFe:

Warum nicht?

Weil wie ich meine Tussis kenne, selber was in IT zu machen ist nix... auch wenn ich es vom Rechner des Users machen muss, muss ICH es machen. Vielleicht 5 von 20 schaffen (und wollen) es überhaupt machen. Chef inklusive. 

 

vor 2 Stunden schrieb magheinz:

Die user müssen einen Key erzeugen.

Damit generieren sie eine Zertifikatsanforderung.

Diese signiert dann Die Registrierungsstelle und stellt das Zertifikat aus.

 

Ob du das die Leute händisch per openssl, powershelle what ever, per webinterface mit javascript etc machen lässt oder sonst ein Tool einsetzt kommt auf die Anforderungen an.

Wenn die Anforderungen richtig Streng sind liegen die Keys auf einer Smartcard.

Wichtig ist nur das niemand ausser dem Zertifikatsinhaber den Key in die Hände bekommt. Zum Schutz kann man den mit einem Passwort versehen um bei Verlust auf einer halbwegs sicheren Seite zu sein.

 

Ein Admin der Zugriff auf die keys und Zertifikate hat der kann ja alles damit anstellen was er will. Das geht einfach gar nicht und widerspricht dem ganzen Prinzip.

Danke. Ja grundlegend muss es aus dem Profil des Users gemacht werden. 

 

Und die aktuellen Zertifikate mit denen gestartet wird, werden sowieso dann gelöscht (revoked). 

 

Was ist mit den allgemeinen E-Mail Adressen, zB. info@ oder office@ ? Wer stellt diese Zertifikate aus?

bearbeitet von kosta88
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.934

Geschrieben
Geschrieben

Moin,

 

ihr habt hier gerade sehr schön die Gründe diskutiert, warum sich Mailverschlüsselung nicht durchsetzt ...

 

... und tatsächlich stimme ich Norbert zu, dass wahrscheinlich die einzig praktikable Lösung eine Gateway-Verschlüsselung ist. Das ist dann nicht Ende-zu-Ende, aber immerhin Unternehmen-zu-Unternehmen.

 

Gruß, Nils

 

Link zu diesem Kommentar
testperson Grand Master

testperson   1.675

Geschrieben
Geschrieben

Ja, doch, schon heute. :-D Eigentlich regeln wir das bei 90% unserer Kunden mit einer DATEV Lösung (DATEVnet E-Mail-Verschlüsselung). Allerdings kam da heute nochmal eine Anfrage zu Alternativen und da bin ich nochmal bei Zertificon vorbei und habe für mich das Ende zu Ende Gateway entdeckt. Kannte es tatsächlich noch nicht. Und war dann wohl schon länger nicht mehr auf deren Internetseite.

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...