Internetzertifikat ohne Useraktivität verteilen

[tom_ate]

Moin,
ich suche nach einer Möglichkeit, ein Internetzertifikat an alle Benutzer zu verteilen.

Normalerweise müsste der User das Zertifikat über die Datei --> Sicherheit --> Benutzersicherheit --> Zertifikat importieren seiner ID hinzufügen.
Dabei muss er ja auch 2mal sein Notes-Kennwort eingeben, zudem das Kennwort des Zertifikates.

Kann ich das ganze auch automatisiert durchführen?
Per Agent oder Richtlinie o.ä.?

Danke vorab für Tipps!

[tom_ate]

Jemand eine andere Idee, wie ich relativ "schlank" smime-Entschlüsselung in einem Unternehmen implementieren kann?

Es geht lediglich um die Entschlüsselung von smime-verschlüsselten Mails aus dem Internet - von einem immer gleich bleibenden Absender.

[(h)uMan]

Wie ist denn s/mime intern gelöst: über ein s/mime Gateway (am Gateway wird zentral ver-/entschlüsselt) oder Ende-zu-Ende (Client-seitig)?

Wir setzen s/mime mit offiziellen Zertifikaten ohne zentrales Gateway ein.
Das von der CA ausgestellte s/mime Zertifikat wird dem Benutzer als PKC#12-Datei zugestellt.
Der Benutzer importiert dann sein Zertifikat wie beschrieben.

Per Richtlinie ist das m.W. nicht automatisierbar.
Eine "silent" Variante wird eventuell über Drittanbieter-Tools möglich sein.

[schroederk]

Ich kann Dir leider nicht viel weiterhelfen, außer dass ich weiß, dass es geht.
Wir setzen eine Notes-basierte MDM-Lösung ein und die erstellt und importiert das User-Zertifikat automatisch  in das Globale Adressbuch.
Ob das allerdings mit Notes-Boardmitteln z.B. Agent passiert oder ob da im Hintergrund irgendeine Java/C++-Funktion aktiv wird, weiß ich leider nicht.

20 Sekunden Google-Search brachte den Link hervor:
https://www.ibm.com/support/knowledgecenter/en/SSKTMJ_9.0.1/admin/conf_pushingtrustedcertificatestolotusnotesclients_t.html

Vielleicht hilft der weiter?

[tom_ate]

s/mime ist intern bisher gar nicht im Einsatz.
Soll jetzt lediglich für diese Anwendung genutzt werden.
Daher möglichst schlank.

Die Mail geht direkt aus einer externen Anwendung s/mime-verschlüsselt an einzelne Empfänger.

Den Import der Zertifikate pro User will ich eigentlich umgehen, da ich nicht vorhersagen kann, wen es tatsächlich betrifft.

[Tode]

Du kannst natürlich dafür iQSuite Crypt benutzen, da ist der Benutzer komplett außen vor, das läuft über einen Servertask. Ich meine von BCC gibt es auch noch so ein serverbasiertes Tool, da habe ich den Namen aber nicht parat.

[Pfefferminz-T]

BCC MailProtect

[tom_ate]

Ja, mit einer Drittanbieter-Lösung mag das funktionieren.

Da die Umsetzung aber relativ kurzfristig erfolgen muss, suche ich eine Lösung ohne separate Software....

Kann ich eine S/Mime-Entschlüsselung auch Kommandozeilen-basiert durchführen?
Ähnlich PGP?

Dann könnte ich die verschlüsselten Mails per Regel festhalten, entschlüsseln, weiterleiten.

[Tode]

nicht dass ich wüsste... Du brauchst ja immer Deinen Private key, den Public Key des Gegenüber und Code zur Entschlüsselung... möglicherweise gibt es eine fertige Java- Klasse dafür oder wirklich Kommandozeilentools, aber Du musst da ja Quellcode einer MIME- Mail manipulieren, das halte ich für nicht machbar so...

[stoeps]

Klar wenn es einfach wäre, hätte der Markt sicher Bedarf für die ganzen Drittanbieterprodukte.

Die Technik ist dir klar? Sprich ich brauche den publik key eines Users um an diesen zu verschlüsseln und den private Key den nur der User haben sollte, zum Entschlüsseln?

Da ist ein bisschen Security dahinter und an sich sollte der Admin mit dem private Key des Users nichts zu tun haben. Wenn ich deinen private Key habe, kann ich Mails in deinem Namen signieren und verschlüsseln! Sprich hat auch rechtlich einen gewissen Stand. Und diese ganzen Krücken mit Abteilungskey etc sind einfach Mist. Dann macht TLS am SMTP, das hat dann den gleichen Schutzstatus.

[stoeps]

Ja, mit einer Drittanbieter-Lösung mag das funktionieren.

Da die Umsetzung aber relativ kurzfristig erfolgen muss, suche ich eine Lösung ohne separate Software....

Ich denke kurzfristig kannst du dir das Knowhow nur einkaufen. Bzw ein Drittanbietertool bestellen. Oder du malst dir ne Doku und die User klappern 2x das Kennwort ein. Ohne Userinteraktion baust du etwas das den Sinn der Asynchronen Verschlüsselung umgeht. Damit wird jedes Zertifikat in der Umgebung unglaubwürdig.