S/MIME Gegenzertifikat

[smurfer]

Hallo zusammen,

ich habe nun mit Hilfe eines 74 zeitigen IBM Reeboks S/MIME auf meinem Testserver konfiguriert. Ich habe als Testpartner eine externe Firma die MS Exchange einsetzt.
Diese Firma kann meine signierte Mail verarbeiten und das Zertifikat in das lokale Adressbuch einbauen. Sie konnten mir danach eine verschlüsselte Mail zuschicken.
Soweit also mal toll. Wenn ich die Mail öffnen, werde ich auch zum Annehmen des Cross Zertifikats aufgefordert. Das steht nun auch in meinem Adressbuch drin.

Wenn ich jetzt aber verschlüsselt antworten will kommt die Fehlermeldung, dass ich kein Internet Zertifikat in meinem Adressbuch habe. Was habe ich vergessen?
Ich dachte, dass Cross Zertifikat würde ausreichen.

Danke und Gruss
Thomas

[sral]

Hallo Thomas,

in meiner Testumgebung musste ich den Absender inkl. dem x509 Zertifikat in das persönliche Adressbuch aufnehmen. Danach lief alles reibungslos.

[smurfer]

Hallo Lars,

genau das habe ich auch gemacht.
Wenn ich mir den User im lokalen Adressbuch anschaue, kommt unter Zertifikate auch ein Eintrag bei den Internet Zertifikate incl. Aussteller.
Will ich einen Reply auf die Mail machen, meckert er aber, das das Empfänger Internet Zertifikat nicht im Adressbuch wäre oder die Mail Adresse nicht identisch wäre.
Bin leicht ratlos.

Gruss
Thomas

[sral]

Hi Thomas,

ich habe die Anleitung benutzt...vielleicht findest du den Stolperstein.

www.admincamp.de/konferenz/ac2010.nsf/bc36cf8d512621e0c1256f870073e627/8214542b176f8660c12576fe00290059/$FILE/H4-SSL%20Installation%20auf%20Lotus%20Domino%208.pdf

[smurfer]

Hallo Lars,

Danke, die kenne ich. Mit der Anleitung habe ich es zuerst auch konfiguriert. Die Zertifikate konnten von der Gegenstelle nicht verarbeitet werden.
Erst mit der Anleitung aus dem IBM Redbook (die ist inhaltlich durchaus anders) kamen Zertifikate raus, mit denen unser Partner was anfangen konnte.

Da erst konnte er mir eine verschlüsselte Mail schicken.


Gruss
Thomas

[smurfer]

Hallo zusammen,

es hat jetzt übrigens funktioniert. Möglicherweise war das Internet Zertifikat doch nicht im lokalen Adressbuch.
Ich hab' es erst nach ein paar Tests richtig verstanden, was dort stehen muss. Ich hatte alle Zertifikate dort wieder gelöscht
und mir die signierte Mail erneut schicken lassen. Wenn ich das Cross Zertifikat entgegennehme gibt es ja an der entsprechenden Stelle einen Eintrag bei den Gegen Zertifikaten
und wenn ich den User in das Adressbuch mit aufnehme, wird erst das Internet Zertifikat in das lokale Adressbuch geschrieben.

Dabei konnte ich keinen Unterschied feststellen, ob ich in dem pull down "Internet" oder "Lotus Notes" auswähle. Wichtig ist der unterer Haken!

Gruss
Thomas

[Pfefferminz-T]

Wenn Du einem anderen Nutzer eine verschlüsselte Mail per SMIME senden willst, dann musst Du auf den öffentlichen Schlüssel dieser eMail-Adresse zugreifen können und dieser Schlüssel wird im Standard beim Kontakt in Deinem persönlichen Adressbuch abgespeichert. Das Cross certificate hat damit nichts zu tun.

Im Prinzip arbeitet die Domino-eigene Verschlüsselung genau gleich, nur dass die öffentlichen Schlüssel im jeweiligen Personendokument gespeichert sind und von Deinem Notes-Client automatisch beim Versenden einer verschlüsselten Nachricht verwendet werden.

Gruß,
Thorsten

[smurfer]

Hallo Thorsten,

das habe ich mittlerweile kapiert. Bin noch etwas blank, wenn es um Zertifizierungen geht.
Nachdem ich aber bei meinen Tests gesehen habe, was wo wann eingebaut wird im lokalen Adressbuch,
war es etwas klarer. Ohne das IBM Redbook hätte ich das eh' nie hinbekommen. Alle Schritte sind zwar in der Hilfe erklärt, wenn man aber die Reihenfolge nicht weiss und nicht gerade eine Affinität zu dem Ganzen hat, wird es schwierig!

Das Cross Zertifikat brauche ich dann eigentlich nicht oder?
Muss das auch mal in Ruhe nachlesen ...

Gruss
Thomas

[Pfefferminz-T]

Moin Thomas,

das Cross certificate bedeutet, dass Du Deiner selbst ausgestellten "Internet-CA" vertraust und wird auch benötigt. In Schritt 7 der Anleitung von Bernhard wird beschrieben, dass Du den Absender der signierten Mail mit "Include x509 certificate" in Dein persönliches Adressbuch übernehmen musst. Domino, SMIME und z.Bsp. auch PGP basieren auf public/private key-Verfahren und die Umsetzung ist bei allen ähnlich. Du brauchst immer den öffentlichen Schlüssel des Empfängers für die Verschlüsselung Deiner Mail, der Empfänger entschlüsselt dann mit seinem privaten Schlüssel (den nur er haben sollte).

Gruß,
Thorsten

[smurfer]

Hallo Thorsten,

Danke für die Antwort. So langsam schliessen sich ein paar Verständnislücken.

Gruss
Thomas