Zertifikate von xca für Mail-Partner

  • Hallo Peter,


    Du erwähnst in mehreren Beiträgen, dass Du Freunde und Bekannte mit Zertifikaten versorgst.


    Wie machst Du das denn mit dem privaten Schlüssel und Kennwort? Wenn man es ganz eng sieht, dürfte der doch nur direkt beim Besitzer erzeugt werden.


    Gruß Jürgen

  • Halo Jürgen,


    absolut korrekt.
    (Ausnahme: Ein professionelles Trustcenter stellt Softwaretoken her, und diese werden in einem automatisierten und hochgesicherten Prozess mit einem mindestens 16-stelligen Zufallspasswort - reines Transportpasswort - versehen und dieses ohne Kenntnismöglichkeit des Personals in ein Sicherheitsdokument gedruckt - PIN-Brief wie beim Mobilfunk.)
    Aber letzteres fällt bei XCA und somit auch privat bei mir aus.


    Das Lösungswort heißt schlicht und einfach "Vertrauen"!
    Welchen Zweck haben die Schlüssel Zertifikate in unserem/meinem konkreten Beispiel?
    Sie sollen unseren rein privaten und absolut nicht "geheimen" Mailverkehr (oder auch VPN-Verbindungen) vor den Augen Unbefugter schützen. Mit "Unbefugten" bezeichne ich ganz allgemein all die Neugierigen, die sich so im Netz und auch an den Schnittstellen zu den Providern tummeln. Und diejenigen, die sich von mir ein Zertifikat holen, vertrauen mir eben, dass ich deren private Schlüssel nicht an andere Personen verteile, sondern sogar gleich nach der Übergabe an sie vernichte. Ich halte also nur die reinen Zertifikate mit den öffentlichen Schlüsseln vor. In dieser Art arbeiten auch viele Firmen-CA, die Schlüssel für ihre eigenen Mitarbeiter produzieren.
    Dass dieses Prinzip funktioniert, beweist mir der immer größer werdende Bedarf der bei mir ankommt - und befriedigt wird.


    Transportkennwort? Wird selbstverständlich über einen anderen Kanal ausgetauscht, oder wenn schon vorhanden, mit einer verschlüsselten Mail.


    Selbstverständlich biete ich auch an, dass mir Nutzer einen Zertifikatsrequest schicken, also ihren Schlüssel selbst generieren und nur von mir zertifieren lassen. Eine kleine Batch-Datei bzw. Shellscript erstellt, verteilt mit einer Anleitung und das Ganze ist in wenigen Minuten für den Nutzer erledigt. (Grundlage: openSSL)


    Da mir der Aufwand so ganz langsam etwas zu groß wird, gedenke ich in den nächsten Jahren auf openCA umzusteigen. Nur das ist ein Installationsmarathon - und da sind mir die paar Hundert Zertifikate pro Jahr wieder etwas wenig ... .
    Andererseits, produzieren dann die Browser der Antragsteller immer den secret Key und ich erhalte ausschließlich die Zertifikatsdaten und den public Key. Also genau so, wie es eigentlich sein sollte und wie es zum Bsp. bei der Anforderung eines Z. vom TC-Trustcenter erfolgt.


    OK?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vielen Dank. Bei mir ist es ein geschlossener Benutzerkreis, zwei Mitarbeiter und ein Mandant mit dem vertrauliche Daten ausgetauscht werden sollen. Ich werde also mit xca auch die privaten Schlüssel erzeugen und verteilen.


    Nach vielen Versuchen werde ich jetzt in den Testbetrieb gehen. Mal sehen, ob alles klappt, vor allem, weil auf der Gegenseite Outlook als Client seinen Dienst tut.


    Viele Grüße


    Jürgen