Domino 9 und frühere Versionen > ND9: Administration & Userprobleme
E-Mail Verschlüsselung zur Fremdfirma
Ottmar:
Liebe Forumsmitglieder,
zunächst erst einmal Dank an diejenigen, die sich meiner Sache hier annehmen. Die grundsätzliche Vorgehensweise in Sachen Verschlüsselung ist mir - denke ich - durchaus klar. den Erklärungen meines Vorredners möchte ich hinzufügen, dass beim Verschlüsseln der öffentliche Schlüssel des Empfängers, beim Signieren der private Schlüsse des Absenders zum Einsatz kommt. Beim Verschlüsseln spielt meines Wissens nach der private Schlüssel des Absenders keine Rolle.
In meinem Szenario ist es so, dass eine Fremdfirma möchte, dass Mails, die von "meinen" Mitarbeitern kommen, verschlüsselt (nicht notwendigerweise signiert) werden können. Dazu wurden mir von der Fremdfirma diverse Zertifikate zur Verfügung gestellt, die allerdings nicht nutzerbezogen sind. Mit wurde glaubwürdig versichert, dass diese Zertifikate Schlüssel enthalten, die für die gesamte (Fremd)firma gelten.
Wie das funktionieren soll, ist mir zwar ein Rätsel, aber es kann ja durchaus sein, dass sie ein vorgeschaltetes Produkt verwenden und so eine Art "Domänenschlüssel" für die Entschlüsselung einsetzen. Was weiss denn ich? Vorstellen kann ich mir das jedenfalls schon, und wie die das auf ihrer Seite machen, kann mir letztendlich auch egal sein.
Ich muss auf meiner Notesseite jedenfalls sicherstellen, dass alle Mails an "@Fremdfirma.de" mit diesem E-Mail-Zertifikat bzw. den Schlüssel daraus verschlüsselt werden können und habe keine Ahnung, wie ich das anstelle. Jedenfalls habe ich am Wochenende eine Testumgebung aufgesetzt und sehr viel über CA-Prozesse, serverbasierte Zertifizierungsstellen, Schlüsselringdateien & Co gelernt, das hilft mir aber für diesen Fall alles nicht weiter. ???
(h)uMan:
--- Zitat von: Ottmar am 26.03.18 - 14:49:38 ---In meinem Szenario ist es so, dass eine Fremdfirma möchte, dass Mails, die von "meinen" Mitarbeitern kommen, verschlüsselt (nicht notwendigerweise signiert) werden können. Dazu wurden mir von der Fremdfirma diverse Zertifikate zur Verfügung gestellt, die allerdings nicht nutzerbezogen sind. Mit wurde glaubwürdig versichert, dass diese Zertifikate Schlüssel enthalten, die für die gesamte (Fremd)firma gelten.
--- Ende Zitat ---
Kenne ich bislang nur bei SSL Zertifikaten. Da sind es dann "Wildcard"-Zertifikate ;)
Aber es scheint auch s/mime "Abteilungs-Zertifikate" zu geben. Siehe z.B. https://www.psw-group.de/smime/abteilungszertifikate/
Technische Implementierung?
stoeps:
Notes holt sich die Schlüssel für Empfänger aus Adressbüchern. Leg doch lokal mal einen Account der Fremdfirma an und importier da das Zertifikat. Die roots in der names sind ok, damit steht der Trust (wahrscheinlich gar nicht notwendig).
Ich befürchte wenn das klappt brauchst du nen Adresseintrag für jeden Empfänger.
Alternativ 3rd party tools die die Ver-/Entschlüsselung übernehmen.
Ottmar:
Abschließende Bemerkung:
Die Einrichtung mit Notes-Bordmitteln ist offenbar unmöglich. Sämtliche Versuche, den Anwendern in den Kontaktdatenbanken die Schlüssel / Zertifikate irgendwie unterzujubeln, sind fehlgeschlagen. Da der Mailempfänger (hier die E-Mail-Adresse) im Personendokument steht, der E-Mail-Empfänger aber auch im Zertifikat vermerkt ist, merkt Notes, wenn für ein E-Mail Empfänger "Max Muster" ein Schlüssel verwendet werden soll, der nicht für "Max Muster" sondern für "Einheitsmail@Firma" ausgestellt ist und lehnt die Verschlüsselung kategorisch ab.
Ich gehe inzwischen fest davon aus, dass da nichts zu machen ist. Vielleicht könnte etwas mit massiven Eingriffen per Programmierung gehen, z.B. Zertifikatsinformationen per LotusScript ändern, aber irgendwann steht der Aufwand nicht mehr im richtigen Verhältnis zum Ergebnis. Ich habe den Kunden jetzt auf Drittanbieter-Tools verwiesen.
Navigation
[0] Themen-Index
[*] Vorherige Sete
Zur normalen Ansicht wechseln