PKI Design

[StefanWe]

Hallo,

folgende Anforderungen müssen erfüllt werden.

- Öffentlich Zertifizierte CA
- Ausstellen von Zertifikaten für sichere Email
- Class 1 und 2 Zertifikate
- Einfaches Ausstellen der Zertifikate
- Für X Kunden

Hintergrund. Wir haben einen Kunden, welcher nun signierte EMails verschicken möchte. Nun möchte dieser seinen Kunden wiederum auch Zertifikate zur Verfügung stellen.

Wünschenwert wäre es, wenn wir eine CA Zur Verfügung haben, entweder eine eigene, oder eine von Verisign, TrustCenter, oder ähnliches., wir das Zertifikat für den Kunden beantragen. Dieses auf eine SmartCard speichern und dem Kunden zustellen.

Ähnlich wie es die Datev macht.
Nun haben wir uns bei Trustcenter informiert, für eine eigene zertifizierte CA wollen die 10.000 Euro pro Jahr haben.

Dies rechnet sich aber nicht.
Bei Verisign ist das beantragen der Zertifikate zu umständlich. Immer über die Onlineseite, dann wird das Zertifikat in den lokalen Store automatisch importiert, dort exportieren usw. - Viel zu umständlich.

Hat jemand eine Idee, wie wir dies am besten Lösen können?
(Es darf ruhig Geld kosten )

[nerd]

Hi,

wenn sich die Anzahl Firmen überschauen lässt, dann könntet ihr auch eine eigene PKI Infrastruktur aufbauen und das root cert von den anderen Firmen in Ihre vertrauenswürdigen certs aufnehmen lassen.

LG

[StefanWe]

Überschaubar wäre das ganze schon. Ca 100 Firmen. Allerdings werden diese nicht von uns betreut. Sondern wir würden denen nur die Zertifikate für die Benutzer zur Verfügung stellen.
Denn die wenigsten IT Dienstleister haben sich überhaupt schoneinmal mit dem Thema PKI befasst.



Unser Zertifikat überall zu importieren wäre nicht so schön. Wobei die Datev das ja glaube genauso handhabt.

[olc]

Hi,

als alternative könntet Ihr auch die Zertifikate / Schlüssel der internen Issuing CAs von einer öffentlichen Zertifizierungsstelle beziehen und nicht alle Zertifikate. Damit ist die Root vertrauenswürdig und die anderen Firmen könnten Eure Zertifikate erfolgreich validieren. Gleiches gilt dann für die anderen Firmen.

Oder Ihr macht mit den CAs der anderen Unternehmen eine sogenannte Kreuzzertifizierung: Planning and Implementing Cross-Certification and Qualified Subordination Using Windows Server 2003 .

Viele Grüße
olc

[StefanWe]

Hi,

also die Kunden werden keine eigene CA bekommen. Sorry falls ich mich da falsch ausgedrückt habe.

@OLC was meinst du mit Issuing CAs?

Es ist eben auch wichtig, das wenn der Kunde unseres Kunden Mails an seine Kunden schickt, diese ebenfalls öffentlich Vertrauenswürdig sind.

Daher müssen wir irgendwoher leicht Öffentlich vertrauenswürdige Zertifikate bekommen. Und das nicht für 10.000 Euro im Jahr

[olc]

Hi,

stellt Ihr den Kunden denn Zertifikate mit Eurer CA aus? "Issuing" CA ist eine Zertifikat ausstellende CA.

Dienstleister zu dem Thema gibt es übrigens durchaus - nur haben die aufgrund der (fast schon) "Alleinstellung" bei gutem fachlichen PKI Know-How eben einen ordentlichen Tagessatz. Der ist bei dem Thema aber auch gut investiert...

Viele Grüße
olc

[NilsK]

Moin,

wenn ihr eine eigene CA als solche zertifizieren lassen wollt, werdet ihr überall in dem genannten Preisrahmen liegen. Das ist völlig normal. Schließlich könnt ihr damit selbst Geld verdienen.

Da eure Vorstellungen anscheinend noch sehr vage sind, solltet ihr euch mal einen Berater kommen lassen, der sich mit sowas auskennt (womit ich jetzt niemanden meine, der "schonmal eine CA installiert" hat).

Gruß, Nils

[StefanWe]

Guten Morgen,

habe mich gestern bereits an Verisign gewandt. Mal schauen wann ich dort eine entsprechende Rückantwort erhalte.

@OLC: Stimmt jetzt wo du es sagst, kommt mir Issuing CA aus den MS Schulungen bekannt vor

Also eine Issuing CA müssen wir nicht unbedingt selbst betreiben. Es würde uns schon ausreichen, irgendwo entsprechend Zertifikate zu beziehen zu können. Und dies ziemlich einfach im Sinne von wenig Verwaltungsaufwand.

[olc]

Ok, aber "externe" Zertifikate von Verisign o.ä. werden in größerer Anzahl schnell sehr teuer. Aber dafür müßt Ihr Euch dann nicht im die PKI Struktur kümmern.

Nils hat Recht - laßt Euch diesbezüglich einmal beraten, bevor da nicht optimale Entscheidungen fallen.

Viele Grüße
olc