S/MIME mit eigener PKI

[dadave 0]

Hallo liebe Community

 

Ich beschäftige mich momentan mit E-Mail Security mit eigener PKI. Momentan habe ich eine Testumgebung am laufen.

 

Folgendes habe ich bereits gemacht:

- Testdomäne (dmag.local) mit einem Domänencontroller

- Zweiter Server (Domänenmitglied) als Root und Issueing CA (einstufige PKI)

- PC in Domäne

 

Der Domänencontroller und die CA laufen auf Server 2012.

 

Ich konnte bereits Benutzerzertifikate verteilen.

 

Nun stehe ich vor einem Problem: Ich wollte mit dem erstellten Zertifikat die Digitale Signatur im Outlook testen. Dazu verwende ich meinen Firmenaccount (Exchange 2010, andere Domäne). Diesen Firmenaccount habe ich im Testpc eingebunden (das Root-Zertifikat befindet sich also bereits im Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen).

 

Im ersten Schritt geht es mir nur um die digitale Signatur, noch nicht ums verschlüsseln.

 

In den Outlook Optionen konnte ich meine Digitale ID erstellen (Import des Zertifikats als .pfx mit Private Key). Danach habe ich die Einstellungen für die Digitale Signatur getätigt (Signatur- und Verschlüsselungszertifikat ausgewählt, btw. ist übrigens genau das gleiche).

 

Wenn ich nun eine Email versenden will und die digitale Signatur anwähle (nicht die Verschlüsselung) dann erhalten ich folgende Fehlermeldung:

 

"Ungültiges Zertifikat

Diese Nachricht kann von Microsoft Outlook weder verschlüsselt noch signiert werden, da keine Zertifikate für das Senden von Nachrichten von der Email Adresse "blabla@blabla.ch" (meine Firmenadresse) vorhanden sind. Fordern Sie entweder eine neue Digitale ID für dieses Konto an, oder verwenden Sie die Schaltfläche Konten, um die Nachricht mithilfe eines Kontos zu senden, für das Sie Zertifikate besitzen."

 

Zusatzinfos: Die Zertifikatvorlage "Benutzer" wurde unverändert übernommen.

 

Meine Vermutungen: Ich kann für die Digitale Signatur aus Outlook 2010/2013 kein Zertifikat verwenden, welches mit der Zertifikatvorlage Benutzer erstellt wurde. Die andere mögliche Fehlerquelle wäre meiner Meinung noch der produktive Exchange Server meiner Firma.

 

Stehe ich auf dem Holzweg oder habe ich noch einige Abhängigkeiten, welche ich bisher nicht beachtet habe?

 

Besten Dank für Eure Hilfe!

[NorbertFe 2.283]

Na wenn das Emailfeld im Zertifikat anders lautet als deine Emailadresse im Outlook ist das doch klar. Upn Emailadresse usw. Solltest du schon auf deine Umgebung anpassen.

[dadave 0]

Hi

 

Danke für den Tip

 

War also doch auf dem Holzweg, bin eben leider noch nicht sehr erfahren.

 

Hast du einen Link zur Stelle, der beschreibt wie man das Zertifikat so anpassen kann, dass es funktioniert?

 

Danke und Gruss

[dadave 0]

Ok nun hat es geklappt.

 

Ich habe eine neue Zertifikatvorlage auf Basis der existierenden Exchange-Benutzer Zertifikatvorlage erstellt. Ich habe mich an die Angaben von Brian Komar in seinem Buch gehalten und es hat geklappt.

[dadave 0]

Hallo zusammen

 

Nochmals eine Frage, die mir evtl. jemand beantworten kann.

 

Ich bin dabei, E-Mail-Verschlüsselungszertifikate für Benutzer auszustellen. Das Ganze soll mittels Autoenrollment für Domainusers geschehen. Gibt es eine Möglichkeit, in Outlook eine digitale ID mit dem erhaltenen Zertifikat automatisch zu erstellen, sodass der User "keinen Finger krumm" machen muss?

 

Autoenrollment sollte kein Problem darstellen, jedoch hab ich in meinen Recherchen noch keine Möglichkeit gesehen, die Outlookeinstellungen vollautomatisch (evtl. GPO oder Script?) zu deployen.

 

Besten Dank und freundliche Grüsse

 

dadave