Domino 9 und frühere Versionen > ND9: Administration & Userprobleme

E-Mail Verschlüsselung zur Fremdfirma

(1/2) > >>

Ottmar:
Liebes Forum,

ich bin gerade dabei, für einen Kunden (Notes 9.01, FP 9) eine sichere E-Mail Verschlüsselung zu einer Fremdfirma einzurichten.
Dazu haben wir von der Fremdfirma ein paar Internetzerfikate bekommen. Ein sich selbst zertifizierendes Zertifikat "RootCA - R3", ein daraus abgeleitetes Zertifikat "PersonalSign - R2" und wiederum daraus abgeleitet ein Internet-E-Mailzertifikat.

Diese drei habe ich in das Dominoverzeichnis importiert. Das Root-Zertifikat habe ich mit unserer Domänen-Cert.id gegenzerfiziert. Das E-Mail-Zertifikat ließ sich nicht gegenzertifizieren, bei einem entsprechenden Versuch kommt die Fehlernachricht "Wegen der Nutzungseinschränkungen des Schlüssels im Eingangszertifikat kann kein Gegenzertifikat erstellt werden". Meines Erachtens ist das aber eigentlich auch ok und dürfte sich nicht negativ auswirken, wenn das Rootzertifikat gegenzertifiziert werden konnte. Im Zuge von "Troubleshooting" habe ich festgestellt, dass sich das "Zwischenzertifikat" (PersonalSign - R2) problemlos gegenzertifizieren ließ.

Über Richtlinien habe ich die so im Dominoverzeichnis erstellten Zertifikate (3 Internetzertifikatsdokumente und 2 Internetgegenzertifikatsdokumente) in die Kontaktedatenbanken der Anwender importiert, diese Aktion verlief soweit erfolgreich, sprich: alle Zertifikatsdokumente kommen auf den Clients der Anwender an. Ebenso ist in den Arbeitsumgebungsdokumenten der Clients das Mailforamt für ausgehende E-Mail auf "MIME" eingestellt.

Dennoch funktioniert die E-Mail-Verschlüsselung zur Fremddomäne nicht. Eigentlich sollte Notes, wenn ich Handbücher richtig interpretiere, damit die Mails an die Fremddomäne automatisch verschlüsseln, funktioniert aber nicht. Wenn die Anwender die Verschlüsselungsoption in den Zustelloptionen explizit setzen, kommt die Warnnachricht, dass kein passendes Zertifikat gefunden wird. (Dialog dürfte den erfahrenen Adminis bekannt sein)

Wer hilft mir auf die Sprünge? Was habe ich bei der Konfiguration vergessen?

Tode:
Hast Du denn für die Benutzer schon Zertifikate gekauft und in die IDs de ruser aufgenommen? Vorher geht gar nix.

Ottmar:
Die ursprünglichen Zertifikate (cer-Dateien, BASE64, X509) wurden uns von der Fremdfirma zur Verfügung gestellt und kommen von einem bekannten Trustcenter, insofern gehe ich davon aus, dass diese bezahlt wurden.

Da es lediglich darum geht, dass alle Mitarbeiter meine Kundenfirma Mails in verschlüsselter Form zur Fremdfirma senden und in umgekehrter Richtung nichts gemacht werden muss, brauche ich den lediglich den öffentlichen Schlüssel, der in den Zertifikatsdokumenten ja vorhanden ist in die Kontakte-Datenbanken unterbringen. Nach meiner Kenntnis sind in einem solchen Szenario keine Internetzertifikate in die User-IDs zu importieren, der Zugriff auf die öffentlichen Schlüssel ist ausreichend.

Meine Quelle zu dieser Annahme ist hier:
https://www.ibm.com/support/knowledgecenter/de/SSKTMJ_9.0.1/admin/conf_mailencryption_c.html

Unabhängig davon habe ich die Internetzertifikate jetzt mal testweise in eine User-ID importiert. R2 und R3 Zertifikat ließen sich importieren, E-Mail-Zertifikat nicht. (Fehlermeldung: "Zertifikat aus importierter Datei konnte nicht zur Verfügung gestellt werden")

Auch mit importierten Zertifikat klappt die Verschlüsselung nicht, weder wenn der Testuser das Mail ohne Setzen der Verschlüsselungsoption sendet, (dann geht das Mail unverschlüsselt raus) noch, wenn er es versucht (Warnmeldung, wie beschrieben).

Patrick Schneider:
Man benötigt auch für die eigenen User entsprechende Zertifikate, die auf die eigene E-Mailadresse ausgestellt sind und in die Notes-ID importiert wurden.
Entweder gekaufte (die muss der User dann manuell in seine Notes-ID importieren) oder selbst erzeugte (z.B. per Domino CA-Prozess, dann werden diese automatisch in die Notes-ID aufgenommen).

Tode:
Vielleicht einen kurzen Abriss darüber, wie Verschlüsselung funktioniert:

Mailverschlüsselung per S/Mime ist eine sogenannte asynchrone Verschlüsselung. Jeder Teilnehmer hat einen "Private"- Key (der nur ihm selbst bekannt ist) und einen "Public"- Key, den er seinem Gegenüber mitteilt.

Wenn Du nun eine Mail verschlüsselt sendest, wird diese mit Deinem Private key und dem Public key des Empfängers verschlüsselt.
Beim Empfänger läuft der Prozess umgekehrt: Nur ER kann die Mail mit SEINEM Private key und DEINEM Public key entschlüsseln.

In Notes wird der Private key in die notes- ID des Benutzers aufgenommen und muss von einer öffentlichen Zertifizierungsstelle auf Deine Mailadresse ausgestellt werden. Der Public key des Gegenüber wird im Adressbuch abgelegt (entweder im globalen Adressbuch oder eben im persönlichen Adressbuch des Benutzers).

Dabei brauchst Du für JEDEN Benutzer auf der Gegenseite seinen Public key. Ein "genereller" Public key der Firma bringt Dir genau gar nichts.

Weil das sehr viel Aufwand ist, kann man das mit Zusatztools auch Serverbasiert vollautomatisch machen, diese kosten aber Geld.

Beispiel:

Firma A
Benutzer A1
Benutzer A2

Firma B
Benutzer B1
Benutzer B2

1. Schritt
Admins von Firma A und Firma B beantragen bei einer öffentlichen Zertifizierungsstelle je ein S/Mime - Zertifikat für die Benutzer A1, A2, B1, B2 und helfen dem Benutzer dieses Zertifikat in ihre ID aufzunehmen.

2. Schritt
Benutzer A1 und A2 senden je eine signierte Mail an B1 und B2

3. Schritt
B1 und B2 nehmen die Public Keys aus den Mails in ihr persönliches Adressbuch auf. Optional kann der Admin von Firma B auch die beiden Keys in ein zentrales Adressbuch übernehmen, das bei B1 und B2 eingetragen ist.

4. Schritt
Benutzer B1 und B2 senden je eine signierte Mail an A1 und A2

5. Schritt
Siehe Schritt 6, nur für Firma A

6. Schritt
Ab jetzt kann jeder Benutzer dem anderen verschlüsselte Mails senden

Navigation

[0] Themen-Index

[#] Nächste Seite