Zertifikate

[Krypto 10]

Hallo,

 

habe mal eine Frage zu Zertifikaten und Trustcentern.

 

wir wollen bei uns Zertifikate für Emailsignierung und -verschlüsselung einbinden.

 

Habe nun einen Zertifikatsserver gebastelt. Dieser stellt unseren Emailbenutzern ein Zertifikat aus. Diese Methode funktioniert jedoch nur intern. Nach Extern hingegen wird unsere Zertifizierungsstelle als nicht vertrauenswürdig "angesehen".

 

Jetzt will uns die Telekom ihre eigene Lösung anbieten.

 

Ich bin aber der Meinung, dass es aureichend ist, unsere Zertifizierugsstelle durch ein Trustcenter der Telekom zertifizieren zu lassen.

 

 

Kennt sich jemand mit dieses Thema aus? Sind meine Gedanken richtig oder habe ich etwas übersehen?

 

Gruß Krypto

[grizzly999 11]

Deine Gedanken sind grundsätzlich richtig, aber ich denke nicht, dass dir irgendeine offizielle CA deine CA signieren wird (BTW: würde ich auch nicht).

Schließlich verteilst du dann Zertifikate in deren Namen und mit deren Segen, quasi offizielle Zertifikate. Ihr würdet auch nicht die Auflagen erfüllen können.

 

 

grizzly999

[Krypto 10]

Hallo grizzly999

 

dake erst einmal für die Antwort.

 

Ich würde nur Zertifikate für unsere Benutzer ausstellen, sozusagen als Untertertifizierungsstelle für unsere Domain.

 

Kannst du mir sagen, was für Auflagen das sein sind?

 

gruß Krypto

[grizzly999 11]

Ich würde nur Zertifikate für unsere Benutzer ausstellen,

Ob du NUR zertifikate für EURE Benutzer ausstellst, oder NUR EMAIL-zertifikate für Eure Benutzer, oder NUR ...., das ist eigentlich ziemlich egal, du wärst eine Subordinate CA einer offiziellen CA. Wei wollstest du denen glaubhaft versichern dass du NUR ....

D.h., versichern könntest du denen das schon, aber denkst, du, die würden dir vertrauen?! Irgendjemandem, der sagt, jaja, wir machen das schon nur für ....

Hey, die hätten das abgesegnet, wenn da was schief läuft, die halten die Rübe hin. Da würden die nicht mal nasatzweise mit sich drüber reden lassen.

 

Nein, die Anforderungen habe ich nicht mehr, hatte mal vor langer Zeit im Internet eine Diplomarbeit einer Studentin gefunden, ca. 400 Seiten, was Ihre Uni alles machen müsste, welche Auflagen und Anforderungen, wenn sie eine SubCA einer offiziellen CA einrichten wollten (wenn die ihr OK gäben). Oje Oje ....

 

grizzly999

[dippas 10]

Ich denke, die Kosten für den Aufwand alle notwendigen Voraussetzungen zusammen zu tragen werden bereits höher sein, als das offizielle Zertifikat von der Telekom.

 

Hinzu kämen sicherlich noch besondere Kosten für die "Erlaubnis" als untergeordnete Zertifikatsstelle zu agieren. Unabhängig davon, dass Du die Erlaubnis - wie grizzly es auch schreibt - vermutlich gar nicht erhalten wirst.

 

Beispiel:

Serverzertifikat für Web/SLL von der Telekom kostet 150 Euro im Jahr. Dafür verschwende ich keinen Gedanken daran, das selbst zu machen ;)

 

grüße

 

dippas

[Krypto 10]

Danke erst einmal für eure Kommentare.

 

Werde es mal an meinen Abteilungschef so weiter geben.

 

Gruß Krypto

[Tallasar 10]

Hallo,

 

so schwer ist das doch nicht zu lösen mit Deiner CA.

 

Das Rootcertifikat und die CRLmuß auf einem öffentlich zugängigen Webserver liegen, damit die Vertrauenswürdigkeit geprüft werden kann.

Im Zertifikat für die Anwender muß dann für AIA und CDP der Pfad von dem Webserver eingetragen sein.

Der Externe muß sich dann nur noch das signierte Mail in den Kontakten ablegen und schon sollte es funktionieren.

 

Gruß Tallasar

[grizzly999 11]

Hallo,

 

so schwer ist das doch nicht zu lösen mit Deiner CA.

 

Das Rootcertifikat und die CRLmuß auf einem öffentlich zugängigen Webserver liegen, damit die Vertrauenswürdigkeit geprüft werden kann.

Im Zertifikat für die Anwender muß dann für AIA und CDP der Pfad von dem Webserver eingetragen sein.

Der Externe muß sich dann nur noch das signierte Mail in den Kontakten ablegen und schon sollte es funktionieren.

 

Gruß Tallasar

Aber es poppt bei all den Empfängern erst mal eine Mittteilung hoch, dass das Zertifikat von einer nicht-vertrauenswürdigen Zertifizierungsstelle stammt. Natürlich kann man dann bestätigen, dass man das Root-Zertifikat als vertrauenswürdig einstuft, aber ich denke, Krypto wollte durch die geplante Aktion schon das PopUp nicht haben.

 

Wenn man allerdings vorranging mit einigen "Haupt-ommunikationspartnern" korrespondiert, dann könnte man mit dem dortigen Admin aushandeln - AD dort vorausgesetzt, dass man das Rootzertifikat dort hin schickt, und die das per GPO als trusted Root Certr verteilen.

 

 

grizzly999

[Tallasar 10]

@grizzly999: Klar das geht auch mit wenigen Korrespondenzpartnern. Aber eigentlich hat diese Bestätigungsfrage ja auch seinen Sinn, oder?

 

Ansonsten könnte ich Ihm nur noch "Julia" empfehlen!

 

Gruß Tallasar

[Krypto 10]

Hallo alle zusammen

 

grizzly999 hat schon recht, ich möchte nicht, dass bei außenstehenden ein popup aufgeht in dem dann drinnen steht "nicht vertrauenswürdig". Da wir nicht unbedingt mit speziellen Partnern kommunizieren muss es schon eine Lösung darstellen, indem keine popups aufgehen.

 

Danke aber erst einmal für die rege Beteiligung.

 

Gruß Krypto

[Hr_Rossi 10]

hi !

 

also du kannst ja ein öffentlich gültiges Zertifikat kaufen !

 

z.B.: von VeriSign kostet eine Zertifikat für ein Jahr f. email ca 20€ !

glaube das sollte es wert sein, natürlich pro User .

 

lg

rossi