Root-Zertifikate automatisiert importieren?

Hi ladiko,

ich verstehe zwar nicht allzu viel von Sicherheitspolitik :-), aber schau mal hier:
https://www.thunderbird-mail.de/wiki/Die_Datei…rofil_kurz_erklärt

Dort findest du die Beschreibung der secmod.db, cert7/8.db und key3.db .
Das sind die drei Dateien, in denen die Zertifikate, aber auch die privaten Schlüssel gespeichert werden. Du kannst ohne weiteres in einem "Standardprofil" weitere root-Zertifikate und auch Empfängerzertifikate hinzufügen und dann diese drei Dateien an die einzelnen Clients verteilen. Selbstverständlich nicht die Schlüsseldateien (pfx oder p12) der Benutzer. Und auch kein Master-PW setzen, denn das muss mit dem übereinstimmen, mit dem die signons.txt verschlüsselt ist.
Es dürfte auch klar sein, dass dies nur im Rahmen einer TB-Neuinstallation gemacht werden sollte, sonst sind vorherige Einträge weg ... .

Ein Sicherheitsproblem sehe ich keinesfalls, wenn Herausgeber- und Empfängerzertifikate auf diese Art und Weise verteilt werden. Sind doch nur offene Bestandteile. Und auch das zentrale Setzen der Vertrauensanker halte ich in einer Firma o.ä. keinesfalls für bedenklich - wenn es von einer befugten und sachkundigen Person für alle durchgeführt wird.

Ich halte es aber für besser, wenn die Nutzer (Firma?) persönliche Schlüsseldateien bekommen, in denen der komplette Zertifikatsbaum abgespeichert ist. Beim Importieren der p12/pfx werden auch die Herausgeberzertifikate mit importiert. Der Nutzer muss dann nur noch deren Vertrauensanker setzen.

MfG Peter