Autor Thema: S/MIME  (Gelesen 5432 mal)

Offline HipSlu

  • Senior Mitglied
  • ****
  • Beiträge: 339
  • Geschlecht: Männlich
  • I am from Austria
    • konfabulieren.com
S/MIME
« am: 21.09.05 - 16:46:41 »
hi,

eine frage:
hat jemand von euch schon erfahrungen mit x509 zertifikaten, sprich s/mime verschlüsselung? hat jemand smartcards im einsatz? seht ihr eine möglichkeit das zertifikat "automatisch" - sprich per script - dem user in die id zu importieren (wenn man also keine smartcards, sondern soft-zertifikate verwendet). kann man domino - sprich das names - dazu verwenden, um per ldap die offentlichen schlüssel zur verfügung zu stellen?

fragen über fragen. wenn es jemand will, kann ich gerne mehr über die hintergründe des sich hier anbahnenden projekts schildern ;-)
Notes ist ein Bananenprodukt - es reift beim Kunden
--------------------------------------

Server: 6.5.5 EN auf Sun Solaris 8 & W2K / W2k3
Clients: 6.5.4 DE auf W2K und XP (ca. 3000)

Addon: Group 8.6

Offline matze79

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 587
  • Ich liebe dieses Forum!
Re: S/MIME
« Antwort #1 am: 21.09.05 - 20:53:48 »
Der Domino enthält einen kompletten S/MIME Zertifikatsserver. Die Zertifikate werden nach der konfiguration des Servers einfach über den Administrator dem User hinzugefügt, beim nächsten Anmelden wird die ID geupdated.

Auch fremde können über ein Webinterface Zertifikate beantragen.

Schau dir einfach mal die Admin-Hilfe an.

matze
IBM Cerified System Administrator Lotus Notes and Domino 6/6.5
400 User, 10 Server, BES, Sametime und anderer Gimmicks

Offline HipSlu

  • Senior Mitglied
  • ****
  • Beiträge: 339
  • Geschlecht: Männlich
  • I am from Austria
    • konfabulieren.com
Re: S/MIME
« Antwort #2 am: 22.09.05 - 14:28:28 »
das hab ich natürlich; mein problem ist (und ich hätte nicht gefunden, dass dies gehen würde): ich will / muss nicht selbst zertifikate ausstellen, sondern ich möchte einfach nur den public key pro person zentral zur verfügung stellen; d.h. also z.b. zum persdoc hinzufügen.
Notes ist ein Bananenprodukt - es reift beim Kunden
--------------------------------------

Server: 6.5.5 EN auf Sun Solaris 8 & W2K / W2k3
Clients: 6.5.4 DE auf W2K und XP (ca. 3000)

Addon: Group 8.6

Offline matze79

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 587
  • Ich liebe dieses Forum!
Re: S/MIME
« Antwort #3 am: 22.09.05 - 20:18:52 »
Du benötigst zum Ver-/Entschlüsseln IMMER einen Public UND einen Private-Key. Der Absender verschlüsselt mit seinem Private und dem fremden Public. Der Empfänger entschlüsselt mit seinem Private und dem fremden Public. Du kannst also nicht einfach den Public hinzufügen, weil dir der Private sonst fehlt.

Woher bekommst du denn deine Zertifikate? Domino kann komplett die S/MIME Zertifikate verwalten. Wenn alles konfiguriert ist, kannst du jedem User mit zwei Klicks ein S/MIME-Zertifikate in seine Notes-ID einbinden. Der Private-Key liegt generell in der Notes-ID, sie sind personenbezogen.

matze
IBM Cerified System Administrator Lotus Notes and Domino 6/6.5
400 User, 10 Server, BES, Sametime und anderer Gimmicks

Offline max.power

  • Senior Mitglied
  • ****
  • Beiträge: 314
  • Geschlecht: Männlich
Re: S/MIME
« Antwort #4 am: 23.09.05 - 16:11:15 »
Hi HipSlu,

schau mal da vorbei:

http://www.s-trust.de

Hatte mit denen schon mal Kontakt, weil wir vor hatten, ebenfalls die Möglichkeit zum Verschlüsseln "nach aussen" einzubinden (das ganze ist aber zum Glück fallen gelassen worden).

Es gibt da 2 Varianten:
1.) Du lässt dir die Zertifikate "auf Zuruf" erstellen und zuschicken.
2.) Du administrierst und erstellst die Zertifikate selbst (per Webinterface).

Punkt 2 macht zwar unabhängig, nur hast du halt den Verwaltungsausfwand - vor allem ist das 1. Einrichten des Zertifikatcenters (Name ist jetzt frei erfunden ;)) nicht gerade einfach und recht verwirrend.
Zum Testen gibts diese Seite:

https://testdrive.s-trust.de/

Da kann man schon mal Zertifikate erstellen, allerdings fehlt denen ein gültiges Root-Zertifikat, somit eignet sich das wirklich nur mal zum Reinschnüffeln.

Bei beiden Varianten musst du die Zertifikate "von Hand" in die user.ids der Benutzer übernehmen, das bleibt dir nicht erspart.
Die Leute dort sind aber sehr hilfsbereit!

LG,
Max

PS: Nein, ich arbeite nicht für s-trust.

Offline matze79

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 587
  • Ich liebe dieses Forum!
Re: S/MIME
« Antwort #5 am: 26.09.05 - 08:34:39 »
Um es nochmal zu sagen: Domino 6.5 ist ein vollwertiger S/MIME UND Zertifikatsserver! Warum sollte man Geld anfassen und ein neues legacy System anschaffen, wenn der Domino alles rund um S/MIME von Hause aus bereits mitbringt?

matze

IBM Cerified System Administrator Lotus Notes and Domino 6/6.5
400 User, 10 Server, BES, Sametime und anderer Gimmicks

Offline HipSlu

  • Senior Mitglied
  • ****
  • Beiträge: 339
  • Geschlecht: Männlich
  • I am from Austria
    • konfabulieren.com
Re: S/MIME
« Antwort #6 am: 26.09.05 - 22:40:41 »
jo, es is halt ned immer so einfach in einem großen konzern - in dem wir die einzigen mit lono sind, und daher die lösungen alle auf ausguck zugeschnitten sind....

so wird es halt wieder eine katastrophe - weil die leute die personen samt public key im pers adr buch haben müssen; im exchange kann man das im ad hinterlegen; schade
Notes ist ein Bananenprodukt - es reift beim Kunden
--------------------------------------

Server: 6.5.5 EN auf Sun Solaris 8 & W2K / W2k3
Clients: 6.5.4 DE auf W2K und XP (ca. 3000)

Addon: Group 8.6

Offline matze79

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 587
  • Ich liebe dieses Forum!
Re: S/MIME
« Antwort #7 am: 27.09.05 - 14:53:06 »
so wird es halt wieder eine katastrophe - weil die leute die personen samt public key im pers adr buch haben müssen; im exchange kann man das im ad hinterlegen; schade


Da ist nicht korrekt. Unter Notes sind die Public-Keys im zentralen Names und Adressbuch (NAB) und somit auch vie LDAP erreichbar. Die Private-Keys liegen in der ID beim User, dort wo ein Private-Key auch hin gehört.

matze

IBM Cerified System Administrator Lotus Notes and Domino 6/6.5
400 User, 10 Server, BES, Sametime und anderer Gimmicks

Offline HipSlu

  • Senior Mitglied
  • ****
  • Beiträge: 339
  • Geschlecht: Männlich
  • I am from Austria
    • konfabulieren.com
Re: S/MIME
« Antwort #8 am: 30.09.05 - 18:26:20 »
Da ist nicht korrekt. Unter Notes sind die Public-Keys im zentralen Names und Adressbuch (NAB) und somit auch vie LDAP erreichbar.

klär mich bitte auf, wie ich die public keys der leute ins names bekommen - da wäre mir sehr geholfen!
Notes ist ein Bananenprodukt - es reift beim Kunden
--------------------------------------

Server: 6.5.5 EN auf Sun Solaris 8 & W2K / W2k3
Clients: 6.5.4 DE auf W2K und XP (ca. 3000)

Addon: Group 8.6

Offline matze79

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 587
  • Ich liebe dieses Forum!
Re: S/MIME
« Antwort #9 am: 04.10.05 - 00:18:05 »
Hier nun der Crashkurs, wie man seinen Domino zum Zertifikatsserver erweitert.

- Migrieren der gewünschten Cert-IT zum CA-Prozess:
  Konfiguration->Zertifizierung->Zertifizierer Migrieren
- CA-Prozess neu starten und kontrollieren
  (Suche: Zertifizierer zum CA-Prozess hinzufügen)
- Erstellen eines Internet-Zertifizierers auf Basis des CA-Prozesses:
  Konfiguration->Zertifizierung->Internet Zertifizierer
- CA-Prozess neu starten und kontrollieren
  (Suche: Zertifizierer zum CA-Prozess hinzufügen)
- Zertifizierungs-DB auf Basis der CERTREQ.NTF erstellen und konfigurieren
  (z.B. Extended Key Usage: EMail Protection; Processing Method:
  AutomatiC)
- Internet-Zertifikat für Notes-Benutzer über den CA-Prozess
  (Internet-Zertifikat) beantragen: Admin-Client->Aktionen->Add Internet Cert to Selected People;
  Administrationsanforderungen kontrollieren,
- Internet-Zertifikat für andere Clients beantragen: Webbrowser über die Zertifizierungs-DB;
  Administrationsanforderungen kontrollieren

Weitere Einstiegspunkte in der Admin-Hilfe:
Internet-Zertifikate für Notes S/MIME-Clients erstellen 
Zertifizierer zum CA-Prozess hinzufügen
Internet-Zertifikate in einem Personendokument ausstellen 
Internet-Zertifikate anfordern 
Internet-Client-Zertifikate signieren und zum Domino Verzeichnis hinzufügen 


Viele Einstellungen werden durch den Adminp durchgeführt.
Die Zertifikat kommen automatische ins NAB und sind via LDAP erreichbar.
IBM Cerified System Administrator Lotus Notes and Domino 6/6.5
400 User, 10 Server, BES, Sametime und anderer Gimmicks

Offline HipSlu

  • Senior Mitglied
  • ****
  • Beiträge: 339
  • Geschlecht: Männlich
  • I am from Austria
    • konfabulieren.com
Re: S/MIME
« Antwort #10 am: 04.10.05 - 09:54:30 »
danke, ABER: mein problem ist es ja, dass ich die zertifikate nicht selbst ausstellen kann. ich bekomme diese nur, und suche nun einen weg wie ich den öffentlichen teil ins persdoc bekomme.

der von dir beschrieben weg ist mir klar, danke, jedoch impliziert dies eben, dass domino die ca ist - und das ist bei mir leider nicht der fall
Notes ist ein Bananenprodukt - es reift beim Kunden
--------------------------------------

Server: 6.5.5 EN auf Sun Solaris 8 & W2K / W2k3
Clients: 6.5.4 DE auf W2K und XP (ca. 3000)

Addon: Group 8.6

Offline matze79

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 587
  • Ich liebe dieses Forum!
Re: S/MIME
« Antwort #11 am: 04.10.05 - 10:29:43 »
> suche nun einen weg wie ich den öffentlichen teil ins persdoc bekomme

Das steht in der Admin-Hilfe:

"Internet-Client-Zertifikate signieren und zum Domino Verzeichnis hinzufügen":

Fremdanbieter-CA
Wenn ein Benutzer mit Hilfe des Notes Clients ein Internet-Zertifikat von einer Fremdanbieter-CA erhält, wird das Zertifikat automatisch zu seinem Personendokument hinzugefügt.
Wenn ein Benutzer über einen Browser ein Internet-Zertifikat von einer Fremdanbieter-CA erhält, muss das Zertifikat anschließend zu seinem Personendokument hinzugefügt werden.
Weitere Informationen hierzu finden Sie unter "Client-Zertifikate von Fremdanbieter-CAs in Personendokumenten veröffentlichen".
IBM Cerified System Administrator Lotus Notes and Domino 6/6.5
400 User, 10 Server, BES, Sametime und anderer Gimmicks

Offline HipSlu

  • Senior Mitglied
  • ****
  • Beiträge: 339
  • Geschlecht: Männlich
  • I am from Austria
    • konfabulieren.com
Re: S/MIME
« Antwort #12 am: 04.10.05 - 10:46:58 »
genial - der artikel in der hilfe "Publishing third-party CA client certificates in a Person record" scheint tatsächlich das zu sein, was ich vergeblich gesucht habe

DANKE
Notes ist ein Bananenprodukt - es reift beim Kunden
--------------------------------------

Server: 6.5.5 EN auf Sun Solaris 8 & W2K / W2k3
Clients: 6.5.4 DE auf W2K und XP (ca. 3000)

Addon: Group 8.6

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz