Jump to content

Zertifikat für S/MIME mit Token


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

ich möchte interne Mails gerne verschlüsseln. Hierzu habe ich eine Enterprise CA von Microsoft aufgesetzt. Das Verschlüsselungsverfahren ist soweit klar, jedoch ist mir nicht klar, wie innnerhalb einer Domäne die Public Keys zu den jeweiligen Personen/MA kommen?! Muss ich tatsächlich jedem mein Zertifikat mit angehängtem Public Key zukommen lassen, oder gibt es eine Möglichkeit alle Public Keys irgendwie über AD zu publizieren - oder geschieht das gar automatisch?

 

Danke im Voraus

Link to post
  • 2 weeks later...

super, das macht das ganze natürlich einfacher :-)

jetzt noch folgende design frage:

 

ich möcht den/die Server gerne von extern und von intern erreichbar machen. Wenn ich das richtig versehe, dann baue ich einen Root-CA im internen Netz auf. dieser wird abgeschaltet und nur ab und zu wieder aktiviert. Dann installiere ich zwei SUB -CAs (einen in der DMZ für externe, und einen für interne MA's im internen Netz. Als letztes benötige ich noch einen Webserver, auf dem ich die CRL bereitstelle. Die ROOT-CA wird nicht in die Domäne integriert, die beiden SUB-CA schon...

 

Korrekt oder verbesserungsvorschläge??

Link to post

Ein schönes Zitat zur PKI:

"Eine PKI besteht zu 95% aus Organisation und nur zu 5% aus Technik"

 

Bevor du über die Platzierung der Server nachdenkst, solltest du zunächst festlegen wie Interne und Externe an ein Zertifikat kommen sollen.

Eine CA - insbesondere wenn AD integriert - würde ich nicht in eine DMZ stellen und/oder von außen erreichbar machen.

Wenn es sein muss, können Externe auch ihre Zertifikate von einer Stand Alone Issuing CA bekommen. Wichtig sind dabei nur die gemeinsame Root CA und der Verwendungszweck im Zertifikat.

 

Bei einer PKI, die über die Unternehmensgrenzen hinweg eingesetzt wird, sollten unbedingt CP und CPS (Certificate Policies / Certificate Practice Statements) ausgearbeitet und veröffentlicht werden. Im Idealfall stehen dabei Hausjuristen, Datenschutz, Betriebsrat und Audit zur Verfügung.

Nutzungverträge mit den externen Teilnehmern sind dabei auch nicht schädlich. Insbesondere Haftungs- und Schadensersatzfragen sollten unbedingt geregelt werden.

 

Erst im Anschluss - nach der Definitionsphase - kann über geeignete technische Mittel zur Umsetzung und ggf. zur Erzwingung der definierten Prozesse nachgedacht werden.

Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...