...
Habt ihr schon Erfahrungen mit der CA in Domino 6 gemacht und schon Internet Zertifikate erstellt? Können über die CA nicht konfortabel SMIME Zertifikate erstellt werden?...
Komfort ist genau das richtige Wort dafür - wer jemals mit R4 oder R5 Clientzertifikate erstellt (und verteilt) hat wird den CA-Prozeß dafür lieben. Angefangen vom automatischen Erstellen bis hin zur vollautomatischen Aufnahme in die UserID beim End-Nutzer läuft alles problemlos. Keine kryptischen URLs und CA-Datenbanken die beim Client früher mit dem Notes-Browser zu öffnen waren - alles Vergangenheit. Kann ich nur empfehlen mal auszuprobieren.
Etwas problematischer als die technische Seite ist die organisatorische - bisher hab ich noch keinen Kunden erlebt der tatsächlich beim Endnutzer MIME-Verschlüsselung haben wollte, angefangen von der Virenproblematik (kein Scannen möglich am Server) bis hin zur Vertreterregelung (und schwups schon darf die Sekretärin doch wieder mit der Kopie der Chef-ID arbeiten - ansonsten sieht sie einige Mails und Anhänge nur noch leer) gibts da einige Fallen. Auch die von Peter S. angesprochene zentrale Schlüsselverwaltung ist nicht ganz ohne, aber sicher lösbar. Fazit: mit etwas organisatorischem know-how eine Super Sache.
Ich persönlich würde aus vorgenannten Gründen allerdings die serverseitige Verschlüsselung mit einem Enterprise Crypt Modul vorziehen - damit erledigen sich so ziemlich alle Probleme, begonnen von der Schlüsselverwaltung (am besten nur mit Unternehmensschlüsseln - die sind nutzerunabhängig) bis hin zur Möglichkeit des Servers alle Mails scannen und separat regelbasiert intern verschlüsseln zu können (Stichwort Vertreterregelung).
Möchte man dagegen nur Daten mit bestimmten Partnern verschlüsselt übers Netz übertragen (alle Mails zwischen mir und Geschäftspartner X verschlüsselt übertragen) aber auf die verschlüsselte Speicherung oder Verteilung der Public Keys verzichten so bietet sich hier eine ganz andere Möglichkeit an: simpel ein VPN zwischen den Servern implementieren und schon kann keiner mehr meine "Postkarten" mitlesen. Bei sehr vielen Partnern dann allerdings etwas zu viel Aufwand.
...Wir haben auch die dringende Anforderung, an spezielle Endkunden verschlüsselte Internet-Mails zu versenden.
Das Problem ist, daß diese Mails serverseitig im Backend generiert und versendet werden.
Da versagen die Domino Boardmittel ja kläglich.
Das ist so nicht ganz richtig. Die Boardmittel arbeiten sogar genau richtig - allerdings muß man etwas genauer hinter die Kulissen schauen WARUM bestimmte Wege nicht funktionieren und genau da ansetzen.
Was passiert wenn ein Agent eine Mail (verschlüsselt oder nicht) ins Internet sendet?
1. Agent erzeugt Mail ohne Rücksicht auf Empfängerbesonderheiten - alle relevanten Felder der Mail sind Text bzw. RichText.
2. Router muß Mail für alle MIME-Empfänger konvertieren - er erzeugt also aus allen Feldern MIME.
3. MIME Mail geht ins Internet.
Schritt 2 ist das Problem - wenn die Mail in Schritt 1 verschlüsselt worden wäre dann müßte der Router über den Gegenschlüssel verfügen um den Inhalt der Mail umkodieren zu können. Da er den nicht hat = Big Problem.
Was macht ein Notes-Client anders damits aber anscheinend doch funktioniert? Er erzeugt simpel gleich alles im MIME - damit fällt Schritt 2 weg und die Mail geht korrekt (auf Wunsch verschlüsselt) raus.
Ergo - laß deinen Agenten einfach MIME erzeugen und (!) pack den Empfänger samt öffentlichen Schlüssel in ein Adreßbuch auf das der Agent beim Senden zurückgreifen kann (also per DA am sinnvollsten) und vergiß nicht doc.EncryptOnSend = True - es funktioniert tatsächlich auch für Internetempfänger (ich habs im produktiven Einsatz).
Thema: Internet Zertifikat, SMIME Handling (Gelesen 6385 mal)