Autor Thema: Internetzertifikat ohne Useraktivität verteilen  (Gelesen 3840 mal)

Offline tom_ate

  • Frischling
  • *
  • Beiträge: 16
Internetzertifikat ohne Useraktivität verteilen
« am: 21.11.17 - 11:27:21 »
Moin,
ich suche nach einer Möglichkeit, ein Internetzertifikat an alle Benutzer zu verteilen.

Normalerweise müsste der User das Zertifikat über die Datei --> Sicherheit --> Benutzersicherheit --> Zertifikat importieren seiner ID hinzufügen.
Dabei muss er ja auch 2mal sein Notes-Kennwort eingeben, zudem das Kennwort des Zertifikates.

Kann ich das ganze auch automatisiert durchführen?
Per Agent oder Richtlinie o.ä.?

Danke vorab für Tipps!

Offline tom_ate

  • Frischling
  • *
  • Beiträge: 16
Re: Internetzertifikat ohne Useraktivität verteilen
« Antwort #1 am: 22.11.17 - 08:43:03 »
Jemand eine andere Idee, wie ich relativ "schlank" smime-Entschlüsselung in einem Unternehmen implementieren kann? ???

Es geht lediglich um die Entschlüsselung von smime-verschlüsselten Mails aus dem Internet - von einem immer gleich bleibenden Absender.

Offline (h)uMan

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.056
  • Geschlecht: Männlich
  • Wird schon ...
Re: Internetzertifikat ohne Useraktivität verteilen
« Antwort #2 am: 22.11.17 - 09:06:22 »
Wie ist denn s/mime intern gelöst: über ein s/mime Gateway (am Gateway wird zentral ver-/entschlüsselt) oder Ende-zu-Ende (Client-seitig)?

Wir setzen s/mime mit offiziellen Zertifikaten ohne zentrales Gateway ein.
Das von der CA ausgestellte s/mime Zertifikat wird dem Benutzer als PKC#12-Datei zugestellt.
Der Benutzer importiert dann sein Zertifikat wie beschrieben.

Per Richtlinie ist das m.W. nicht automatisierbar.
Eine "silent" Variante wird eventuell über Drittanbieter-Tools möglich sein.






« Letzte Änderung: 22.11.17 - 16:03:29 von (h)uMan »
Beste Grüße, Uwe

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: Internetzertifikat ohne Useraktivität verteilen
« Antwort #3 am: 22.11.17 - 09:11:42 »
Ich kann Dir leider nicht viel weiterhelfen, außer dass ich weiß, dass es geht.
Wir setzen eine Notes-basierte MDM-Lösung ein und die erstellt und importiert das User-Zertifikat automatisch  in das Globale Adressbuch.
Ob das allerdings mit Notes-Boardmitteln z.B. Agent passiert oder ob da im Hintergrund irgendeine Java/C++-Funktion aktiv wird, weiß ich leider nicht.

20 Sekunden Google-Search brachte den Link hervor:
https://www.ibm.com/support/knowledgecenter/en/SSKTMJ_9.0.1/admin/conf_pushingtrustedcertificatestolotusnotesclients_t.html

Vielleicht hilft der weiter?
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline tom_ate

  • Frischling
  • *
  • Beiträge: 16
Re: Internetzertifikat ohne Useraktivität verteilen
« Antwort #4 am: 22.11.17 - 09:16:58 »
s/mime ist intern bisher gar nicht im Einsatz.
Soll jetzt lediglich für diese Anwendung genutzt werden.
Daher möglichst schlank.

Die Mail geht direkt aus einer externen Anwendung s/mime-verschlüsselt an einzelne Empfänger.

Den Import der Zertifikate pro User will ich eigentlich umgehen, da ich nicht vorhersagen kann, wen es tatsächlich betrifft.



Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Internetzertifikat ohne Useraktivität verteilen
« Antwort #5 am: 22.11.17 - 10:51:10 »
Du kannst natürlich dafür iQSuite Crypt benutzen, da ist der Benutzer komplett außen vor, das läuft über einen Servertask. Ich meine von BCC gibt es auch noch so ein serverbasiertes Tool, da habe ich den Namen aber nicht parat.
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: Internetzertifikat ohne Useraktivität verteilen
« Antwort #6 am: 22.11.17 - 13:21:23 »
BCC MailProtect
Grüsse,
Thorsten

Offline tom_ate

  • Frischling
  • *
  • Beiträge: 16
Re: Internetzertifikat ohne Useraktivität verteilen
« Antwort #7 am: 22.11.17 - 13:41:16 »
Ja, mit einer Drittanbieter-Lösung mag das funktionieren.

Da die Umsetzung aber relativ kurzfristig erfolgen muss, suche ich eine Lösung ohne separate Software....

Kann ich eine S/Mime-Entschlüsselung auch Kommandozeilen-basiert durchführen?
Ähnlich PGP?

Dann könnte ich die verschlüsselten Mails per Regel festhalten, entschlüsseln, weiterleiten.

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Internetzertifikat ohne Useraktivität verteilen
« Antwort #8 am: 22.11.17 - 14:00:41 »
nicht dass ich wüsste... Du brauchst ja immer Deinen Private key, den Public Key des Gegenüber und Code zur Entschlüsselung... möglicherweise gibt es eine fertige Java- Klasse dafür oder wirklich Kommandozeilentools, aber Du musst da ja Quellcode einer MIME- Mail manipulieren, das halte ich für nicht machbar so...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline stoeps

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 831
  • Geschlecht: Männlich
  • It's your life, so live it your way.
    • Stoeps.de
Re: Internetzertifikat ohne Useraktivität verteilen
« Antwort #9 am: 22.11.17 - 14:08:22 »
Klar wenn es einfach wäre, hätte der Markt sicher Bedarf für die ganzen Drittanbieterprodukte.

Die Technik ist dir klar? Sprich ich brauche den publik key eines Users um an diesen zu verschlüsseln und den private Key den nur der User haben sollte, zum Entschlüsseln?

Da ist ein bisschen Security dahinter und an sich sollte der Admin mit dem private Key des Users nichts zu tun haben. Wenn ich deinen private Key habe, kann ich Mails in deinem Namen signieren und verschlüsseln! Sprich hat auch rechtlich einen gewissen Stand. Und diese ganzen Krücken mit Abteilungskey etc sind einfach Mist. Dann macht TLS am SMTP, das hat dann den gleichen Schutzstatus.
--
Grüsse
Christoph

Offline stoeps

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 831
  • Geschlecht: Männlich
  • It's your life, so live it your way.
    • Stoeps.de
Re: Internetzertifikat ohne Useraktivität verteilen
« Antwort #10 am: 22.11.17 - 22:39:23 »
Ja, mit einer Drittanbieter-Lösung mag das funktionieren.

Da die Umsetzung aber relativ kurzfristig erfolgen muss, suche ich eine Lösung ohne separate Software....


Ich denke kurzfristig kannst du dir das Knowhow nur einkaufen. Bzw ein Drittanbietertool bestellen. Oder du malst dir ne Doku und die User klappern 2x das Kennwort ein. Ohne Userinteraktion baust du etwas das den Sinn der Asynchronen Verschlüsselung umgeht. Damit wird jedes Zertifikat in der Umgebung unglaubwürdig.
--
Grüsse
Christoph

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz