Jump to content

Zertifikate


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

habe mal eine Frage zu Zertifikaten und Trustcentern.

 

wir wollen bei uns Zertifikate für Emailsignierung und -verschlüsselung einbinden.

 

Habe nun einen Zertifikatsserver gebastelt. Dieser stellt unseren Emailbenutzern ein Zertifikat aus. Diese Methode funktioniert jedoch nur intern. Nach Extern hingegen wird unsere Zertifizierungsstelle als nicht vertrauenswürdig "angesehen".

 

Jetzt will uns die Telekom ihre eigene Lösung anbieten.

 

Ich bin aber der Meinung, dass es aureichend ist, unsere Zertifizierugsstelle durch ein Trustcenter der Telekom zertifizieren zu lassen.

 

 

Kennt sich jemand mit dieses Thema aus? Sind meine Gedanken richtig oder habe ich etwas übersehen?

 

Gruß Krypto

Link zu diesem Kommentar
Ich würde nur Zertifikate für unsere Benutzer ausstellen,

Ob du NUR zertifikate für EURE Benutzer ausstellst, oder NUR EMAIL-zertifikate für Eure Benutzer, oder NUR ...., das ist eigentlich ziemlich egal, du wärst eine Subordinate CA einer offiziellen CA. Wei wollstest du denen glaubhaft versichern dass du NUR ....

D.h., versichern könntest du denen das schon, aber denkst, du, die würden dir vertrauen?! Irgendjemandem, der sagt, jaja, wir machen das schon nur für ....

Hey, die hätten das abgesegnet, wenn da was schief läuft, die halten die Rübe hin. Da würden die nicht mal nasatzweise mit sich drüber reden lassen.

 

Nein, die Anforderungen habe ich nicht mehr, hatte mal vor langer Zeit im Internet eine Diplomarbeit einer Studentin gefunden, ca. 400 Seiten, was Ihre Uni alles machen müsste, welche Auflagen und Anforderungen, wenn sie eine SubCA einer offiziellen CA einrichten wollten (wenn die ihr OK gäben). Oje Oje ....

 

grizzly999

Link zu diesem Kommentar

Ich denke, die Kosten für den Aufwand alle notwendigen Voraussetzungen zusammen zu tragen werden bereits höher sein, als das offizielle Zertifikat von der Telekom.

 

Hinzu kämen sicherlich noch besondere Kosten für die "Erlaubnis" als untergeordnete Zertifikatsstelle zu agieren. Unabhängig davon, dass Du die Erlaubnis - wie grizzly es auch schreibt - vermutlich gar nicht erhalten wirst.

 

Beispiel:

Serverzertifikat für Web/SLL von der Telekom kostet 150 Euro im Jahr. Dafür verschwende ich keinen Gedanken daran, das selbst zu machen ;)

 

grüße

 

dippas

Link zu diesem Kommentar

Hallo,

 

so schwer ist das doch nicht zu lösen mit Deiner CA.

 

Das Rootcertifikat und die CRLmuß auf einem öffentlich zugängigen Webserver liegen, damit die Vertrauenswürdigkeit geprüft werden kann.

Im Zertifikat für die Anwender muß dann für AIA und CDP der Pfad von dem Webserver eingetragen sein.

Der Externe muß sich dann nur noch das signierte Mail in den Kontakten ablegen und schon sollte es funktionieren.

 

Gruß Tallasar

Link zu diesem Kommentar
Hallo,

 

so schwer ist das doch nicht zu lösen mit Deiner CA.

 

Das Rootcertifikat und die CRLmuß auf einem öffentlich zugängigen Webserver liegen, damit die Vertrauenswürdigkeit geprüft werden kann.

Im Zertifikat für die Anwender muß dann für AIA und CDP der Pfad von dem Webserver eingetragen sein.

Der Externe muß sich dann nur noch das signierte Mail in den Kontakten ablegen und schon sollte es funktionieren.

 

Gruß Tallasar

Aber es poppt bei all den Empfängern erst mal eine Mittteilung hoch, dass das Zertifikat von einer nicht-vertrauenswürdigen Zertifizierungsstelle stammt. Natürlich kann man dann bestätigen, dass man das Root-Zertifikat als vertrauenswürdig einstuft, aber ich denke, Krypto wollte durch die geplante Aktion schon das PopUp nicht haben.

 

Wenn man allerdings vorranging mit einigen "Haupt-ommunikationspartnern" korrespondiert, dann könnte man mit dem dortigen Admin aushandeln - AD dort vorausgesetzt, dass man das Rootzertifikat dort hin schickt, und die das per GPO als trusted Root Certr verteilen.

 

 

grizzly999

Link zu diesem Kommentar

Hallo alle zusammen

 

grizzly999 hat schon recht, ich möchte nicht, dass bei außenstehenden ein popup aufgeht in dem dann drinnen steht "nicht vertrauenswürdig". Da wir nicht unbedingt mit speziellen Partnern kommunizieren muss es schon eine Lösung darstellen, indem keine popups aufgehen.

 

Danke aber erst einmal für die rege Beteiligung.

 

Gruß Krypto

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...