E-Mail Verschlüsselung zur Fremdfirma

[Ottmar]

Liebes Forum,

ich bin gerade dabei, für einen Kunden (Notes 9.01, FP 9) eine sichere E-Mail Verschlüsselung zu einer Fremdfirma einzurichten.
Dazu haben wir von der Fremdfirma ein paar Internetzerfikate bekommen. Ein sich selbst zertifizierendes Zertifikat "RootCA - R3", ein daraus abgeleitetes Zertifikat "PersonalSign - R2" und wiederum daraus abgeleitet ein Internet-E-Mailzertifikat.

Diese drei habe ich in das Dominoverzeichnis importiert. Das Root-Zertifikat habe ich mit unserer Domänen-Cert.id gegenzerfiziert. Das E-Mail-Zertifikat ließ sich nicht gegenzertifizieren, bei einem entsprechenden Versuch kommt die Fehlernachricht "Wegen der Nutzungseinschränkungen des Schlüssels im Eingangszertifikat kann kein Gegenzertifikat erstellt werden". Meines Erachtens ist das aber eigentlich auch ok und dürfte sich nicht negativ auswirken, wenn das Rootzertifikat gegenzertifiziert werden konnte. Im Zuge von "Troubleshooting" habe ich festgestellt, dass sich das "Zwischenzertifikat" (PersonalSign - R2) problemlos gegenzertifizieren ließ.

Über Richtlinien habe ich die so im Dominoverzeichnis erstellten Zertifikate (3 Internetzertifikatsdokumente und 2 Internetgegenzertifikatsdokumente) in die Kontaktedatenbanken der Anwender importiert, diese Aktion verlief soweit erfolgreich, sprich: alle Zertifikatsdokumente kommen auf den Clients der Anwender an. Ebenso ist in den Arbeitsumgebungsdokumenten der Clients das Mailforamt für ausgehende E-Mail auf "MIME" eingestellt.

Dennoch funktioniert die E-Mail-Verschlüsselung zur Fremddomäne nicht. Eigentlich sollte Notes, wenn ich Handbücher richtig interpretiere, damit die Mails an die Fremddomäne automatisch verschlüsseln, funktioniert aber nicht. Wenn die Anwender die Verschlüsselungsoption in den Zustelloptionen explizit setzen, kommt die Warnnachricht, dass kein passendes Zertifikat gefunden wird. (Dialog dürfte den erfahrenen Adminis bekannt sein)

Wer hilft mir auf die Sprünge? Was habe ich bei der Konfiguration vergessen?

[Tode]

Hast Du denn für die Benutzer schon Zertifikate gekauft und in die IDs de ruser aufgenommen? Vorher geht gar nix.

[Ottmar]

Die ursprünglichen Zertifikate (cer-Dateien, BASE64, X509) wurden uns von der Fremdfirma zur Verfügung gestellt und kommen von einem bekannten Trustcenter, insofern gehe ich davon aus, dass diese bezahlt wurden.

Da es lediglich darum geht, dass alle Mitarbeiter meine Kundenfirma Mails in verschlüsselter Form zur Fremdfirma senden und in umgekehrter Richtung nichts gemacht werden muss, brauche ich den lediglich den öffentlichen Schlüssel, der in den Zertifikatsdokumenten ja vorhanden ist in die Kontakte-Datenbanken unterbringen. Nach meiner Kenntnis sind in einem solchen Szenario keine Internetzertifikate in die User-IDs zu importieren, der Zugriff auf die öffentlichen Schlüssel ist ausreichend.

Meine Quelle zu dieser Annahme ist hier:
https://www.ibm.com/support/knowledgecenter/de/SSKTMJ_9.0.1/admin/conf_mailencryption_c.html

Unabhängig davon habe ich die Internetzertifikate jetzt mal testweise in eine User-ID importiert. R2 und R3 Zertifikat ließen sich importieren, E-Mail-Zertifikat nicht. (Fehlermeldung: "Zertifikat aus importierter Datei konnte nicht zur Verfügung gestellt werden")

Auch mit importierten Zertifikat klappt die Verschlüsselung nicht, weder wenn der Testuser das Mail ohne Setzen der Verschlüsselungsoption sendet, (dann geht das Mail unverschlüsselt raus) noch, wenn er es versucht (Warnmeldung, wie beschrieben).

[Patrick Schneider]

Man benötigt auch für die eigenen User entsprechende Zertifikate, die auf die eigene E-Mailadresse ausgestellt sind und in die Notes-ID importiert wurden.
Entweder gekaufte (die muss der User dann manuell in seine Notes-ID importieren) oder selbst erzeugte (z.B. per Domino CA-Prozess, dann werden diese automatisch in die Notes-ID aufgenommen).

[Tode]

Vielleicht einen kurzen Abriss darüber, wie Verschlüsselung funktioniert:

Mailverschlüsselung per S/Mime ist eine sogenannte asynchrone Verschlüsselung. Jeder Teilnehmer hat einen "Private"- Key (der nur ihm selbst bekannt ist) und einen "Public"- Key, den er seinem Gegenüber mitteilt.

Wenn Du nun eine Mail verschlüsselt sendest, wird diese mit Deinem Private key und dem Public key des Empfängers verschlüsselt.
Beim Empfänger läuft der Prozess umgekehrt: Nur ER kann die Mail mit SEINEM Private key und DEINEM Public key entschlüsseln.

In Notes wird der Private key in die notes- ID des Benutzers aufgenommen und muss von einer öffentlichen Zertifizierungsstelle auf Deine Mailadresse ausgestellt werden. Der Public key des Gegenüber wird im Adressbuch abgelegt (entweder im globalen Adressbuch oder eben im persönlichen Adressbuch des Benutzers).

Dabei brauchst Du für JEDEN Benutzer auf der Gegenseite seinen Public key. Ein "genereller" Public key der Firma bringt Dir genau gar nichts.

Weil das sehr viel Aufwand ist, kann man das mit Zusatztools auch Serverbasiert vollautomatisch machen, diese kosten aber Geld.

Beispiel:

Firma A
Benutzer A1
Benutzer A2

Firma B
Benutzer B1
Benutzer B2

1. Schritt
Admins von Firma A und Firma B beantragen bei einer öffentlichen Zertifizierungsstelle je ein S/Mime - Zertifikat für die Benutzer A1, A2, B1, B2 und helfen dem Benutzer dieses Zertifikat in ihre ID aufzunehmen.

2. Schritt
Benutzer A1 und A2 senden je eine signierte Mail an B1 und B2

3. Schritt
B1 und B2 nehmen die Public Keys aus den Mails in ihr persönliches Adressbuch auf. Optional kann der Admin von Firma B auch die beiden Keys in ein zentrales Adressbuch übernehmen, das bei B1 und B2 eingetragen ist.

4. Schritt
Benutzer B1 und B2 senden je eine signierte Mail an A1 und A2

5. Schritt
Siehe Schritt 6, nur für Firma A

6. Schritt
Ab jetzt kann jeder Benutzer dem anderen verschlüsselte Mails senden

[Ottmar]

Liebe Forumsmitglieder,

zunächst erst einmal Dank an diejenigen, die sich meiner Sache hier annehmen. Die grundsätzliche Vorgehensweise in Sachen Verschlüsselung ist mir - denke ich - durchaus klar. den Erklärungen meines Vorredners möchte ich hinzufügen, dass beim Verschlüsseln der öffentliche Schlüssel des Empfängers, beim Signieren der private Schlüsse des Absenders zum Einsatz kommt. Beim Verschlüsseln spielt meines Wissens nach der private Schlüssel des Absenders keine Rolle.

In meinem Szenario ist es so, dass eine Fremdfirma möchte, dass Mails, die von "meinen" Mitarbeitern kommen, verschlüsselt (nicht notwendigerweise signiert) werden können. Dazu wurden mir von der Fremdfirma diverse Zertifikate zur Verfügung gestellt, die allerdings nicht nutzerbezogen sind. Mit wurde glaubwürdig versichert, dass diese Zertifikate Schlüssel enthalten, die für die gesamte (Fremd)firma gelten.

Wie das funktionieren soll, ist mir zwar ein Rätsel, aber es kann ja durchaus sein, dass sie ein vorgeschaltetes Produkt verwenden und so eine Art "Domänenschlüssel" für die Entschlüsselung einsetzen. Was weiss denn ich? Vorstellen kann ich mir das jedenfalls schon, und wie die das auf ihrer Seite machen, kann mir letztendlich auch egal sein.

Ich muss auf meiner Notesseite jedenfalls sicherstellen, dass alle Mails an "@Fremdfirma.de" mit diesem E-Mail-Zertifikat bzw. den Schlüssel daraus verschlüsselt werden können und habe keine Ahnung, wie ich das anstelle. Jedenfalls habe ich am Wochenende eine Testumgebung aufgesetzt und sehr viel über CA-Prozesse, serverbasierte Zertifizierungsstellen, Schlüsselringdateien & Co gelernt, das hilft mir aber für diesen Fall alles nicht weiter. 

[(h)uMan]

In meinem Szenario ist es so, dass eine Fremdfirma möchte, dass Mails, die von "meinen" Mitarbeitern kommen, verschlüsselt (nicht notwendigerweise signiert) werden können. Dazu wurden mir von der Fremdfirma diverse Zertifikate zur Verfügung gestellt, die allerdings nicht nutzerbezogen sind. Mit wurde glaubwürdig versichert, dass diese Zertifikate Schlüssel enthalten, die für die gesamte (Fremd)firma gelten.

Kenne ich bislang nur bei SSL Zertifikaten. Da sind es dann "Wildcard"-Zertifikate

Aber es scheint auch s/mime "Abteilungs-Zertifikate" zu geben. Siehe z.B. https://www.psw-group.de/smime/abteilungszertifikate/
Technische Implementierung?

[stoeps]

Notes holt sich die Schlüssel für Empfänger aus Adressbüchern. Leg doch lokal mal einen Account der Fremdfirma an und importier da das Zertifikat. Die roots in der names sind ok, damit steht der Trust (wahrscheinlich gar nicht notwendig).

Ich befürchte wenn das klappt brauchst du nen Adresseintrag für jeden Empfänger.

Alternativ 3rd party tools die die Ver-/Entschlüsselung übernehmen. 

[Ottmar]

Abschließende Bemerkung:

Die Einrichtung mit Notes-Bordmitteln ist offenbar unmöglich. Sämtliche Versuche, den Anwendern in den Kontaktdatenbanken die Schlüssel / Zertifikate irgendwie unterzujubeln, sind fehlgeschlagen. Da der Mailempfänger (hier die E-Mail-Adresse) im Personendokument steht, der E-Mail-Empfänger aber auch im Zertifikat vermerkt ist, merkt Notes, wenn für ein E-Mail Empfänger "Max Muster" ein Schlüssel verwendet werden soll, der nicht für "Max Muster" sondern für "Einheitsmail@Firma" ausgestellt ist und lehnt die Verschlüsselung kategorisch ab.

Ich gehe inzwischen fest davon aus, dass da nichts zu machen ist. Vielleicht könnte etwas mit massiven Eingriffen per Programmierung gehen, z.B. Zertifikatsinformationen per LotusScript ändern, aber irgendwann steht der Aufwand nicht mehr im richtigen Verhältnis zum Ergebnis. Ich habe den Kunden jetzt auf Drittanbieter-Tools verwiesen.