S-MIME mit Unternehmenszertifikat

  • Hallo zusammen,


    ich habe schon sehr interessiert einige Artikel im Forum gelesen und mir dadurch etwas Wissen angeeignet. Besonders der Artikel "Mailpartner schicken mir *.cer statt *.asc -- was nun?" war sehr ausführlich und hilfreich.
    Ich bin momentan dabei S-MIME Verschlüsselung in der Firma zu Testen. GNUPG funktioniert schon seit längerem.


    Also hier mein Problem:
    Wir setzten in der Firma eine Serverlösung zur Verschlüsselung ein. Dafür habe ich mir erst einmal zum Test ein "Unternehmenszertifikat" beim TrustCenter erstellt. Darin ist unsere Firmenadresse info@Firma.de hinterlegt.
    Ebenso habe ich mir ein Zertifikat für meine priv. EMail- Adresse erstellt. Beide Zertifikate sind im Thunderbird importiert.
    Ich kann auch Verschlüsselte und signierte Mails von der Firma zur priv. EMail-Account senden und auch von privat zur Adresse info@Firma.de. :D
    Aber wenn ich von priv. zur Maik.Froehlich@Firma.de senden möchte kommt folgende Fehlermeldung :gruebel: :
    Senden der Nachricht fehlgeschlagen. Sie haben ausgewählt, diese Nachricht zu verschlüsseln, aber die Anwendung konnte kein Verschlüsselungszertifikat für Maik.Froehlich@Firma.de finden.


    Wenn ich die Mail "nur" signiere kann ich die Mail senden.
    Im Thunderbird bei PGP kann ich Empfängerregeln einstellen. :D:D:D:D
    Wie mache ich das bei S-MIME????? :nixweiss: :help:


    Ich hoffe, ich habe es verständlich erklärt und habe keine grundsätzlichen Fehler gemacht (vielleich sogar schon beim erstellen des 30 Tage Test-Unternehmenszertifikat (Class 0)) .


    Danke für eure Hilfe.


    Maik Fröhlich


    Thunderbird-Version 3.0.3 und Betriebssystem Windows XP

  • Hallo Maik,


    und willkommen im Forum!
    Ich möchte einleitend sagen, dass ich zwar "schon ein wenig über X.509-Zertifikate und S/MIME gelesen habe", aber ein strikter Verfechter der end-to-end-Verschlüsselung bin. Ich kenne mich zwar sehr gut mit S/MIME auf verschiedenen Mailclients aus, aber selbiges auf dem Server ist bei mir nur theoretisches Wissen.



    "Maik_Fröhlich" schrieb:

    Besonders der Artikel "Mailpartner schicken mir *.cer statt *.asc -- was nun?" war sehr ausführlich und hilfreich.


    Danke :-)


    Ich bin momentan dabei S-MIME Verschlüsselung in der Firma zu Testen. GNUPG funktioniert schon seit längerem.


    "Maik_Fröhlich" schrieb:

    Wir setzten in der Firma eine Serverlösung zur Verschlüsselung ein.


    Welche (nur mal so zur Information ...)?


    Ich lese aus deiner (sehr gut gemachten!) Darstellung, dass du die Schlüsseldateien und Zertifikate anscheinend richtig importiert hast.
    Probleme bei der Verwendung von X.509-Zertifikaten treten fast immer deswegen auf, weil Vertrauenseinstellungen nicht richtig gesetzt sind, bzw. nicht die richtigen Herausgeberzertifikate importiert wurden. Bei der Vielzahl an unterschiedlichen Herausgeberzertifikaten meiner Hamburger Kollegen muss der User auch schon richtig aufpassen - oder eben einfach alle importieren. Passieren kann da nichts.
    Und ich bin recht sicher, dass das Herausgeberzertifikat des "Unternehmenszertifikates" ein anderes ist, wie bei den "internet-IDs" (oder wie die Kostnix-Zertifikate heißen). Und immer an die Einstellung des Vertrauens denken!


    - beide/alle Herausgeberzertifikate (Zertifikat = öffentlicher Anteil) sowohl im Server als auch im Client importieren, Vertrauen!
    - die Technik, welche verschlüsselt (Client, und wenn der Server auch verschlüsseln soll, auch der Server) müssen über alle Userzertifikate verfügen, an die verschlüsselt werden soll. Entweder importiert oder über einen Verzeichnisdienst.
    - die Technik, welche entschlüsseln soll, muss die entsprechende Schlüsseldatei (p12 oder pfx) importiert bekommen. Wenn der Server auch Usermails entschlüsseln soll, dann eben auch diese <grrrrrr>.
    - Und die Technik, welche signieren soll, dann eben auch die Schlüseldatei mit dem Zertifikat und dem geheimen Schlüssel, mit dem signiert wird. (Eigentlich können nur Menschen unterschreiben, also als User auf dem Cleint ... .)


    "Maik_Fröhlich" schrieb:


    Aber wenn ich von priv. zur Maik.Froehlich@Firma.de senden möchte kommt folgende Fehlermeldung :gruebel: :
    Senden der Nachricht fehlgeschlagen. Sie haben ausgewählt, diese Nachricht zu verschlüsseln, aber die Anwendung konnte kein Verschlüsselungszertifikat für Maik.Froehlich@Firma.de finden.


    Wie oben schon beschrieben: Du benötigst auf dem sendenden Client ein Zertifikat für Maik.Froehlich@Firma.de, welche korrekt importiert wurde, und deren Herausgeberzertifikat ebenso korrekt importiert und als vertrauenswürdig eingestuft wurde. Das Zertifikat ist exakt an die Mailadresse gebunden.
    Und dein Client in der Firma benötigt wieder die dazugehörende Schlüsseldatei mit dem privaten Schlüssel.
    (Und dann haben wir wieder die von mir favorisierte end-to-end-Verschlüsselung ... .) Oder die Schlüsseldatei befindet sich auf der Server, der zentral entschlüsselt. Oder du kannst, weil nur ein Zertifikat, immer nur verschlüsselt an die dort eingetragene Firmanadresse mailen.


    "Maik_Fröhlich" schrieb:

    Wenn ich die Mail "nur" signiere kann ich die Mail senden.


    Signieren "tust" du ja auch immer mit deinem eigenen privaten Schlüssel. Und den solltest du niemals aus der Hand geben. (Nur Menschen können signieren, s. o.)



    "Maik_Fröhlich" schrieb:

    Im Thunderbird bei PGP kann ich Empfängerregeln einstellen. :D:D:D:D
    Wie mache ich das bei S-MIME????? :nixweiss: :help:


    Geht natürlich auch. Mindestens genau so komfortabel. Aber dazu später.


    HTH


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    danke für das Willkommen.
    Ich kenne mich eben bei S-MIME nicht so aus, und bin ein Verfechter für Server/Server Verschlüsselung im Firmenbereich ( nur als Beispiel: Urlaubsvertretung). Natürlich im priv. ist´s klar Client/Client. Nichts desto trotz hoffe ich, du kannst mir etwas weiter helfen. ;)


    "Peter_Lehmann" schrieb:


    Welche (nur mal so zur Information ...)?


    Lotus Notes mit IQ-Suite Crypt von Group Technologies


    "Peter_Lehmann" schrieb:


    - die Technik, welche verschlüsselt (Client, und wenn der Server auch verschlüsseln soll, auch der Server) müssen über alle Userzertifikate verfügen, an die verschlüsselt werden soll. Entweder importiert oder über einen Verzeichnisdienst.




    ich denke eben mit so einem Unternehmenszertifikat muss nicht für jedem Mitarbeiter der Firma ein Zertifikat erstellt/erzeugt werden?? Der Aufwand bei einer Firma mit ca. 500 Mitarbeitern (mit "ständig" wechselnder Belegschaft) ist doch nicht vertretbar?


    "Peter_Lehmann" schrieb:


    Oder die Schlüsseldatei befindet sich auf der Server, der zentral entschlüsselt.


    Schlüsseldatei ist auf den Server...


    "Peter_Lehmann" schrieb:


    Oder du kannst, weil nur ein Zertifikat, immer nur verschlüsselt an die dort eingetragene Firmenadresse mailen.


    Die Mail des "externe Sender" soll aber direkt in die Mailbox des Mitarbeiters gehen.
    Bei PGP geht es ja auch ....


    "Peter_Lehmann" schrieb:

    Maik_Fröhlich hat geschrieben:Im Thunderbird bei PGP kann ich Empfängerregeln einstellen. :D :D :D :D
    Wie mache ich das bei S-MIME????? :nixweiss: :help:



    Geht natürlich auch. Mindestens genau so komfortabel. Aber dazu später.


    Das interessiert mich natürlich brennend. Wäre schön, wenn du mir da ein paar Tipps verrätst :flehan:
    Kann ichnicht irgendwie sagen "alle Mails an *@Firma.de" verschlüsseln mit Zertifikat xy?
    Ich möchte halt nur verhindern, das die Mail auf dem weg im Internet nicht gelesen werden kann und als Firma bürgen wir mit den Unternehmenszertifikat für unsere Mitarbeiter.


    Nochmals DANKE für deine Hilfe.


    Gruß Maik

  • Hallo Maik,


    "Maik_Fröhlich" schrieb:

    Lotus Notes mit IQ-Suite Crypt von Group Technologies


    OK, da sind wir uns wieder einig ... .
    Wir nutzen allerdings das Plugin eines anderen Herstellers (wg. Zulassung ...), aber prinzipiell ist es das gleiche.
    ABER: bei uns läuft das Plugin auf dem Client, also echte enc-to-end-Verschlüsselung (so wie auch im Thunderbird).


    Wenn du die Entschlüsselung zentral auf dem Server machen willst, dann muss dort entweder jedes einzelne Userzertifikat (richtiger: die Schlüsseldatei) vorhanden sein. Oder die verschlüsselten Mails werden nur an die eine im Zertifikat eingetragene Adresse gesendet und an die Berechtigten entschlüsselt weitergeleitet. Der Absender hat doch auch nur das Zertifikat der Firmenadresse, und kann nur an diese verschlüsseln. Oder steht da nicht "e=info@firma.de" drin?


    "Maik_Fröhlich" schrieb:

    ich denke eben mit so einem Unternehmenszertifikat muss nicht für jedem Mitarbeiter der Firma ein Zertifikat erstellt/erzeugt werden?? Der Aufwand bei einer Firma mit ca. 500 Mitarbeitern (mit "ständig" wechselnder Belegschaft) ist doch nicht vertretbar?


    Diese Zahl entlockt mir ein leichtes Lächeln :-) (einen Tag Arbeit ... .)
    Dazu kommt noch, dass eigentlich (SigG ...) eine Signatur nur von einer natürlichen Person erfolgen darf.


    Ich weiß nicht, wie weit ihr das ganze treiben wollt.
    Die einfachste Lösung ist, dass ihr ein einziges Zertifikat habt (info@firma.de), eventuell noch für weitere Arbeitsgruppen (verkauf@, leitung@ usw.) Dann läuft es so, wie beschrieben. Die Mails an diese Adresse(n) werden entschlüsselt und an die Berechtigten weitergeleitet. Die unverschlüsselten gehen glatt durch. (Wie viele Mitarbeiter erhalten und versenden überhaupt cry-Mails???)
    Dann gibt es die schon erwähnte Möglichkeit der end-to-end-Verschlüsselung. Diese sollte auf dem Client erfolgen. Man kann per Policy anweisen, dass alle gesendeten Mails per BCC an einen bestimmten Briefkasten innerhalb der Fa. gehen und somit eine Kontrolle ausüben. Auch hier können die organisatorischen Briefkästen direkt auf dem Client als weiteres Konto (=> imap) eingerichtet werden, so dass alle Berechtigten darauf Zugriff haben.
    Dann gibt es auch noch eine Möglichkeit, dass ihr richtig in die Tasche fasst, und euch ein CA-Zertifikat kauft. Das kann man so weit treiben, dass jeder Mitarbeiter automatisiert sein pers. Zertifikat aus der eigenen Firmen-CA erhält. Und diese wiederum ist von Trustcenter signiert.


    Alles eine Frage des Wollens und des Könnens ... .



    "Maik_Fröhlich" schrieb:

    Kann ichnicht irgendwie sagen "alle Mails an *@Firma.de" verschlüsseln mit Zertifikat xy?
    Ich möchte halt nur verhindern, das die Mail auf dem weg im Internet nicht gelesen werden kann und als Firma bürgen wir mit den Unternehmenszertifikat für unsere Mitarbeiter.


    ==> Variante 1
    Da ihr ja nur Softwarezertifikate habt, könnt ihr diese doch kopieren und auf die Rechner aller Berechtigten verteilen. Somit auch:
    ==> Variante 2


    Nun zu dem Problem der Speicherung von Empfängerregeln:
    Mit dem Add-on "Virtual Identity" ist ein langgehegter Traum von mir in Erfüllung gegangen.
    Du kannst für jeden Empfänger (Abfrage und Speicherung vor dem erstmaligen Senden, aber auch vorher so einstellen) viele Optionen festlegen:
    - von welcher Identität (persönlich, Firmenbriefkasten, Pseudonym :-) )
    - ob Klickibunti- oder Textmail
    - Anforderung einer Empfangsbestätigung
    - S/MIME-Signatur
    - S/MIME-Verschlüsselung
    - und noch einiges mehr.


    Einmal korrekt gespeichert, und du wirst nie wieder danach gefragt. Perfekt!



    Vielleicht noch einen Hinweis:
    Die Herstellung echter Zertifikate für fortgeschrittene oder gar qualifizierte Signaturen ist wegen der personalaufwändigen Registrierung (=> Identitätsprüfung!) der Personen eine sehr personal- und somit kostenintensive Angelegenheit. Dafür garantiert auch jedes etablierte Trustcenter, dass auf der Karte wo "Meyer" draufsteht, auch die Unterschrift von "Meyer" drin ist. Deshalb ist eine qual. el. Signatur auch einer menschlichen Unterschrift weitestgehend gleichgestellt.
    Die Frage ist jetzt, ob es für Jedermann in der Fa. erforderlich ist, eine derart sichere el. Unterschrift zu leisten. Für die übliche Unternehmenskommunikation ist das imho nicht oder kaum der Fall. Ich lasse hier mal die gesetzlich vorgeschriebenen Fälle bewusst außer acht.
    Hier würde also auch für den offiziellen Absender der Fa. ein gekauftes Zertifikat (fortg. el. Signatur oder bei Bedarf auch qeS) für die wenigen Berechtigten reichen. Für die "normalen Büromitarbeiter" und mit dem Ziel der Vertraulichkeit aber auch Signatur nach manueller Überprüfung der Zertifikate, reichen doch auch selbstsignierte Zertifikate aus. Und innerhalb der Fa. so wie so.


    - Eine kleine aber feine CA mit dem freien Programm "XCA" aufsetzen, Nachdenken und Templates für CA- und Userzertifikate anlegen.
    - Eine PCA und jedes Jahr eine Jahres-CA erzeugen
    - Einen Tag Arbeit - und jeder hat sein eigenes Zertifikat => auf den evtl. vorhandenen ldap schieben?
    - Auf der Webseite der Fa. die Herausgeberzertifikate der Firmen-CA veröffentlichen (für die manuelle Kontrolle)
    - Bei Bedarf auch den Empfängern per mit dem Firmenzertifikat signierter Mail das Herausgeberzertifikat und das Userzert. schicken.
    - Und Serverzertifikate lassen sich damit auch sehr komfortabel erstellen ... .


    Ich gehe mal davon aus, dass ihr keine Bank seid (sonst würdest du nicht solche Fragen stellen ... .)
    Aber mit der skizzierten Lösung seid ihr den meisten Firmen (und vielen Behörden ...) Lichtjahre voraus. Leider ist das so ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    ich konnte mich erst heute wieder melden. Danke für deine ausführliche Antwort. Würde mir das von unseren Supportpartner auch so wünschen, kennt sich aber in diesem Thema auch nicht richtig aus :rolleyes:


    "Peter_Lehmann" schrieb:

    Oder steht da nicht "e=info@firma.de" drin?


    Wie gesagt, es ist ein Demo- Zertifikat von http://www.trustcenter.de/prod…c_gateway_certificate.htm ---> TC Gateway Certificate und im importierten Zertifikat habe ich diesen Eintrag gefunden. --->RFC822-Name=info@Firma.de.

    "Peter_Lehmann" schrieb:

    Dann gibt es auch noch eine Möglichkeit, dass ihr richtig in die Tasche fasst, und euch ein CA-Zertifikat kauft. Das kann man so weit treiben, dass jeder Mitarbeiter automatisiert sein pers. Zertifikat aus der eigenen Firmen-CA erhält. Und diese wiederum ist von Trustcenter signiert.


    Ich bin davon ausgeangen, das das mit dem Gateway-Zertifikat so funktioniert.
    >>Preisinformationen
    >>Gateway Certificate steht Ihnen unabhängig von Class 2 oder 3 mit den folgenden Gültigkeitsdauern zur Verfügung:
    >>Gültigkeit 1 Jahr 319,- €
    >>Gültigkeit 2 Jahre 549,- €
    >>Gültigkeit 3 Jahre 779,- €
    Ich denke den Preis ist OK oder liege ich da jetzt ganz falsch?


    Ich glaube ich muss noch viel lernen.... :les:
    Problem ist .. ich bin jetzt wieder ein wenig mehr verwirrt :gruebel:
    Das freien Programm "XCA" muss ich mir mal anschauen....


    Danke sagt Maik

  • Hallöchen,


    muss mich hier auch mal einklincken :).
    Hänge an dem gleichen Problem wie Maik, würde gerne E-Mails an meine Firma verschlüsselt versenden, dies kann ich allerdings nur mit dem Firmenzertifikat meiner Firma, welche E-Mails auf einem zentralen Kryptogateway (JuliaMailOffice) entschlüsselt.


    Thunderbird lässt mich jedoch nicht E-Mails an meine Firma senden, da die E-Mailadresse im öffentlichen Schlüssel meiner Firma eine andere ist wie die Adresse an die ich eigentlich schreiben möchte. Ist by Design natürlich auch gut so :zustimm: .
    Wenn ich mir jedoch sehr sicher bin, dass mein Gegenüber meine (wenn auch mit einem falschen Schlüssel) verschlüsselte E-Mail entschlüsseln kann, kann ich das dem Thunderbird dann irgendwie beibringen?


    Eine Gateway zu Gateway Veschlüsselung ist gar nicht so unüblich, so verfügt meine Firma über festverdrahtete Verschlüsselungsbeziehungen mit anderen Firmen, welche über soclhe Gatewayzertifikate verhackstückt werden :-).


    Mir gehts ja nur darum, dass meine E-Mail durchs Netz verschlüsselt läuft, in dem LAN meiner Firma ist die E-Mail dann genauso sicher wie alle anderen Firmenmails.


    viele Grüße und Danke, Lemmi

  • Hallo Lemmi,


    und willkommen im Forum!
    Ich kenne für den Thunderbird leider keine Lösung dafür. (Was nicht heißen soll, dass es wirklich nicht geht.)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!