Nutzung von x.509 Zertifikaten für Internet Mail Verschlüsselung und Signatur

[UDuvigneau]

Hallo zusammen,

ich möchte in einem Notes 5.09 Client einen x.509 Schlüssel einer signierten Internet Mail übernehmen, damit ich dem Empfänger verschlüsselte Mails senden kann und die elektronische Unterschrift seiner Mails angezeigt wird.

Beim Versuch den Absender mit seinem Schlüssel ins lokale Adressbuch zu übernehmen, erfolgt ein Fehlermeldung, die mir mitteilt, das das nicht gelungen ist.  

Bevor ich die x.509 Verschlüsselung einer breiteren Basis zur Verfügung stelle, wollte ich zunächst die grundlegende Funktion des Notes Clients checken. Eine gute Idee, wie sich herausstellt.

Gibt es jmd., der dies in der Praxis unter Notes 5 zum laufen gebracht hat?

Bin für jede Hilfe/Tip/Hinweis dankbar.

Ciao Ulf

P.S.
Mit einem Notes 6 Release Candidate Client funktioniert sowohl die Erzeugung des Gegenzertifikats als auch des Personen Dokumentes mit Internet Schlüssel. Leider ist das für mich keine Option.

[obrocke]

Hi,

ich habe bei einem Kunden schon X.509 zum rennen gebracht. Unter R5.08. Wie übernimmst du denn das Zertifikat ?

Hast du dir mal selber ein Test-Zertifikat bei z.B. Trustcenter besorgt und damit probiert ?

Beachten sollte man nur, dass man selber nur ein Zertifikat nutzen kann, wenn man lokal zum Email senden MIME einstellt !

Gruß,

Olaf

[UDuvigneau]

Hallo Olaf,

vielen Dank für Deine Antwort.

Das Erzeugen einer internen PKI ist erst ein späterer Wunsch auf meiner Wunschliste.

Ich habe mir eine Mail von einem Web.de Account mit Signatur zugeschickt, um zu schauen, ob mir später die Signatur angezeigt wird und ich der Web.de-Adresse eine verschlüsselte Mail schicken kann

Über Werkzeuge > Absender in Adressbuch aufnehmen wollte ich jetzt die Mailadresse und das Zertifikat im lokalen Adressbuch aufnehmen.
Neben einer Dialogbox "184:Variant does not contain a Container", was auf einen Fehler im Script hinweist, erhalte ich in der Statuszeile einen Print "Warnung -- receiving messageES wurde eine nicht unterstützte Verschlüsselungsoperation angefordert".

Kann ich evtl. nur x.509 Zertifikate aufnehmen, wenn ich selber eine Key besitze? Ich habe zur Zeit keinen in der ID.

Ciao Ulf

[tttonic]

 
Hi,

ich habe derzeit genau das gleiche problem und leider noch keine Ahnung wie ich dieses behoben bekomme.
Falls ich eine Lösung habe sende ich sie dir gerne zu.
Wäre froh wenn, falls du eine hast, diese mir ebenfalls zusenden könntes.

gruß

tttonic
tttonic@yahoo.de

[obrocke]

Hi,

also ich habe nie mit den Freemailer-Zertifikaten getestet.

Ich habe mir ein kostenloses 1-Jahr-Probe-Zertifikat Class1 bei Trustcenter besorgt. Das hat auf Anhieb funktioniert.

Gruß,

Olaf

[UDuvigneau]

Hallo Olaf,

unabhängig von den von mir benutzten Zertifikaten müsste doch aber über den von mir beschriebenen Weg der Key des Absenders in mein Adressbuch übernommen werden und ein Angebot zur Erstellung eines Gegenzertifikates erfolgen, oder täusche ich mich? Erwarte ich zuviel?

Genau das passiert nämlich im Notes 6 Client.

Ciao Ulf

[obrocke]

Hi,

ja, da hast du Recht. Das Zertifikat sollte zusammen mit den Absender-Daten in deinem Adressbuch gespeichert werden.

Ich weiß nur leider nicht, ob es trotz X.509-Bezeichnung Unterschiede bei den Zertifikaten gibt ?!

Gruß,

Olaf

[obrocke]

Hi,

ich habe gerade mal deinen Weg über Web.de ausprobiert - hast du in deinem Notes-Client, wie von Web.de angegeben, das Root-Zertifikat von Web.de installiert ?

Das würde erklären, warum es bei mir mit Trustcenter funktioniert hat, das Root-Zertifikat ist im Notes-Client schon installiert.

Gruß,

Olaf

[UDuvigneau]

Guten Morgen Olaf,

das Gegenzertigikat sollte eigentlich automatisch beim Öffnen einer signierten Mail im Adressbuch nach Abfrage erzeugt werden. Ich habe auch eins von Web.de gefunden (ein Kollege hate den PC vorher).

Wir haben gestern einfach mal eine Notes CA auf einem anderen Server erstellt und eine signierte SMTP Mail versendet und siehe da ... "Wollen Sie ein Gegenzertifikat erstellen ..." und die Übernahme des Keys ins Adressbuch klappt auch. Na Super! Warscheinlich ist der Web-DE Key irgenwie anders, aber wie?

Hast Du bei Deinem Kunden mit dem bei Trustcenter besorgten CA die Schlüsselpaare der Mitarbeiter mit der Domino Datenbank erstellt oder wird dazu wieder ein Extra Tool benötigt?

Ich denke fast, dass es wirklich Sinn macht, sich eine offiziele CA zu holen.

Ciao Ulf

[obrocke]

Hi,

wir reden aneinander vorbei... das Gegenzertifikat wird erst erstellt, wenn du das Root-Zertifikat installiert hast.

Daher funktioniert Web.de nicht...

Bei dem Kunden müssen die User mit ihrem Browser beim Trustcenter das Zertifikat anfordern, der interne Notes-Admin muss die Anforderung genehmigen (Chipkarte mit Lesegerät), das Trustcenter erstellt und übermittelt das Zertifikat, der User holt es sich ab, exportiert und importiert in Notes...

es ist sehr Fehleranfällig !!!

Gruß,

Olaf

[UDuvigneau]

Hallo Olaf,

mir ist es auch schon aufgefallen.  

Ich muss Dir aber auch mitteilen, dass ich das Root-Zertifikat nicht installieren muss. Das wird in einem Schritt bei der Erstellung des Gegenzertifikates durchgeführt. Im NAB stehen dann ein Internet-Zertifizierer und das Internet-Gegenzertifikat.

Ich interpretiere Deine Antwort so, dass das Trustcenter im Internet die Zertifikate erstellt. Richtig?

Kann ich auch eine Certification Authority (CA) von einem Internet Trustcenter benutzen, um mit Domino die Schlüsselpaare für die User zu erstellen?

Vielen Dank für Deine Mühe!

Ciao Ulf