none
E-Mailverschlüsselung Digitale ID anfordern RRS feed

  • Frage

  • E2k10
    AD 2k8
    Outlook 2010
    interne CA

    Hallo,

    eine Handvoll User soll mit einem externen Unternehmen verschlüsselte Mails austauschen können. Dazu bedarf es ja eines Öffentlichen Zertifikates was ich aber noch nicht habe.
    Ich wollte es nun mal Organisationsintern versuchen, erhalte beim Öffnen der verschlüsselten Mail aber immer den Fehler:
    "Diese Element kann nicht geöffnet werden. Der Name Ihrer digitalen ID kann im zugrunde liegenden Sicherheitssystem nicht gefunden werden."
    Eigentlich sollte das ganze ja recht simple sein. Der Absender verschickt eine Mail mit Signatur und der Empfänger importiert den Kontakt mit der Signatur und hat somit den öffentl. Schlüssel des Absenders (Innerhalb des ADs nicht notwendig, da die Zertifikate ja in der Umgebung bekannt sind). Danach verschickt der Absender eine verschlüsselte Mail und der Empfänger kann sie öffnen, da er ja den öffentl. Schlüssel des Absenders hat.

    Ich habe jetzt schon einige Stunden im Web gesucht und komme immer wieder an den Hinweis, dass man im Outlook in der E-Mail Sicherheitseinstellung eine "Digitale ID anfordern" muss. Wenn man das im Unternehmen macht, sollte eine Seite kommen, in der man "Sicherheit auf dem Exchange einrichten" auswählen kann:

    Klicken Sie unter Microsoft Outlook Trust Center auf Einstellungen für das Trust Center.Klicken Sie auf der Registerkarte E-Mail-Sicherheit unter Digitale IDs (Zertifikate) auf Digitale ID anfordern. Klicken Sie auf Sicherheit auf dem Exchange Server einrichten.
    Geben Sie in das Feld Name der digitalen ID Ihren Namen ein.

    Allerdings kommt nur eine Standardweseite mit Hinweisen auf Zertifikatsanbietern:
    https://support.office.com/de-de/article/Suchen-nach-digitalen-ID-oder-digitale-Zertifikat-Diensten-b06cfc76-56a1-4a74-b2dd-91a55de79cdf?Assetid=HA001050484&ver=14&app=outlook.exe&CorrelationId=085b7f34-3451-4474-9857-97aa52129ca9&ui=de-DE&rs=de-DE&ad=DE&ocmsassetID=HA001050484

    In den Outlook E_Mail Sicherheiteinstellungen unter Digitale IDs (Zertifikate) soll es wohl auch einen Button "In der GAL veröffentlichen" geben. Den gibt es bei mir nicht!

    Entweder ist hier irgend etwas über Policies verboten oder mir fehlt noch Hintergrundwissen.
    Muss ich evtl. auf dem E2k10 noch etwas diesbzgl. einstellen oder ein Zertifikat einspielen? Dazu habe ich allerdings noch nichts gefunden.

    Vielen Dank!

    Dienstag, 27. September 2016 10:48

Antworten

  • > vielen Dank. Ich war bisher immer der Meinung das ich mit meinem privaten Schlüssel verschlüssele und der Empfänger mit meinem Öffentlichen entschlüsselt, das er vorab von mir bekommen muss. (Über digitale Signatur) Aber wieder etwas gelernt

    Das würde ja bedeuten, dass jeder, der Deinen Schlüssel hat, Deine Mails entschlüsseln kann. Klingt nicht wirklich sinnvoll, oder?

    > Vorgehen bei Mailverschlüsselung: Empfänger schickt mir eine digital signierte Mail und ich füge sein Zertifikat in meine Outlookkontakte ein. Wie verwende ich aber dann diesen öffentl. Schlüssel um die Mail an den Empfänger zu verschlüsseln? Wenn ich im Outlook auf verschlüsseln drücke, dann nimmt er doch mein Zertifikat das in den Einstellungen eingestellt ist. Dort kann ich kein Fremdes einrichten.

    Outlook nimmt natürlich das Zertifikat des Empfängers. Das befindet sich entweder im Kontakt oder im Globalen Adressbuch über AD. Dein eignes Zertifikat wird nur beim Signieren benutzt.

    (Und, wie schon mehrfach gesagt: Die Kopie in den gesendeten Objekte ist ein zweites Mal mit dem eigenen Zertifikat verschlüsselt, daher braucht man auch selbst eins.)

    > Wie bekommt denn dann beim TLS der absende Server meinen öffentl. Schlüssel? Baut der absendende Server eine Verbindung zu unserem Gateway auf, die klären ab ob sie TLS können, dann gibt unser Server ihm unseren öffentl. Schlüssel und dann verschlüsselt der absendende Server damit den Transportweg?

    Korrekt.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Dienstag, 4. Oktober 2016 14:15

Alle Antworten

  • Moin,

    in Exchange musst Du nichts machen, das ist ein reines Outlook-Thema (bzw. AD, wenn das Zertifikat in die GAL soll).

    Wichtig ist aber, dass beim Verschlüsseln auch der Absender ein gültiges Zertifikat mit Zugriff auf den eigenen privaten Schlüssel hat.

    Mit diesem wird die Mail in den gesendeten Objekten verschlüsselt.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    • Als Antwort vorgeschlagen Evgenij Smirnov Dienstag, 27. September 2016 11:20
    Dienstag, 27. September 2016 11:00
  • Danke Robert,

    aber wieso fehlt der Button GAL und ich kann beim Button Digitale ID nicht den Exchange Server auswählen?

    Dienstag, 27. September 2016 11:37
  • Wenn er keinen Zugriff auf seienn privaten Schlüssel hätte, dann müsste doch eine Fehlermeldung beim Verschlüsseln der Mail kommen, oder?

    Der User kann auch seinen öffentl. Schlüssel exportieren. Könnte er das wenn er keinen Zugriff auf seinen privaten hätte?

    Danke!

    Dienstag, 27. September 2016 11:45
  • Danke Robert,

    aber wieso fehlt der Button GAL und ich kann beim Button Digitale ID nicht den Exchange Server auswählen?

    "In GAL veröffentlichen..." gibt es IMHO nur, wenn der User auch ein Zertifikat hat.

    Was ist den im oberen Abschnitt eingestellt "verschlüssel E-Mail-Nachrichten" -> Standard-Einstellungen der Knopf daneben "Einstellungen". Kannst Du dort unter "Verschlüsselungszertifikat" das Zertifikat auswählen?

    Wenn nein, dass hat er entweder keinen privaten Schlüssel oder das Zertifikat hat nicht den richtigen Verwendungstyp.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Dienstag, 27. September 2016 11:51
  • Ich kann dort das Zertifikat auswählen und es steht auch dort das ich den privaten Schlüssel besitze.

    Kann es evtl. trotzdem sein, das es nicht den richtigen Verwendungstyp hat?

    Dienstag, 27. September 2016 11:58
  • Verwendungstyp ist Mail. ???
    Mittwoch, 28. September 2016 05:44
  • Die "Schlüsselverwendung" muss "Digitale Signatur" und "Schlüsselverschlüsselung" sein.

    Im der "erweiterten Schlüsselverwendung" kann "Clientauthentifizierung" stehen, und sollte "Sichere E-Mail" stehen.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Mittwoch, 28. September 2016 07:37
  • Ist eingestellt, geht trotzdem nicht.
    Ich habe es mal mit einem freien Zertifikat von Comodo getestet, gleiches Verhalten.

    Da ich jetzt schon unterschiedliche Aussagen bekommen habe, eine Verständnisfrage:

    Bei der Mailverschlüsselung braucht doch der Empfänger meinen öffentlichen Schlüssel um die von mir verschlüsselte Mail zu entschlüsseln. Oder ist es so, dass ich die Mail mit dem öffentlichen Schlüssel des Empfängers verschlüsseln muss?

    Bei der TLS Transportverschlüsselung wird ja by Default der Transportweg mit dem Standardzertifikat des Absenders verschlüsselt. Das machen ja die Mailserver unter sich aus. Bei TLS muss nur der Sender ein Zertifikat besitzen, nicht der Empfänger, oder?
    TLS ist ja standardmäßig bei den gängigsten Mailgateways aktiviert. Wenn TLS auf dem empfangenden Server nicht aktiviert ist, wird dann die Mail abgelehnt oder ohne TLS angenommen?

    Danke!

    Dienstag, 4. Oktober 2016 12:10
  • > Bei der Mailverschlüsselung braucht doch der Empfänger meinen öffentlichen Schlüssel um die von mir verschlüsselte Mail zu entschlüsseln. Oder ist es so, dass ich die Mail mit dem öffentlichen Schlüssel des Empfängers verschlüsseln muss?

    Zweites.

    Verschlüsselung:
    Absender -> öffentlicher Schlüssel des Empfängers -> verschlüsseln
    Empfänger -> sein privater Schlüssel -> entschlüsseln

    ABER: Die Mail wird zweimal verschlüsselt, daher braucht der Absender auch ein Zertifikat. Daher außerdem:
    Absender -> öffentlicher Schlüssel des Absenders -> verschlüsseln
    Absender -> sein privater Schlüssel -> entschlüsseln

    Signatur:
    Absender -> sein privater Schlüssel -> Signatur
    Empfänger -> öffentlicher Schlüssel des Absenders -> Prüfung der Signatur

    > Bei der TLS Transportverschlüsselung wird ja by Default der Transportweg mit dem Standardzertifikat des Absenders verschlüsselt. Das machen ja die Mailserver unter sich aus. Bei TLS muss nur der Sender ein Zertifikat besitzen, nicht der Empfänger, oder?

    Nein, mit dem Zertifikat des Empfängers!

    Wie sollte denn ein Empfänger meine Mails entschlüsseln können, wenn ich die mit meinem Zertifikat verschlüssel?

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Dienstag, 4. Oktober 2016 12:20
  • Hallo Robert,

    vielen Dank. Ich war bisher immer der Meinung das ich mit meinem privaten Schlüssel verschlüssele und der Empfänger mit meinem Öffentlichen entschlüsselt, das er vorab von mir bekommen muss. (Über digitale Signatur) Aber wieder etwas gelernt.

    Vorgehen bei Mailverschlüsselung: Empfänger schickt mir eine digital signierte Mail und ich füge sein Zertifikat in meine Outlookkontakte ein. Wie verwende ich aber dann diesen öffentl. Schlüssel um die Mail an den Empfänger zu verschlüsseln? Wenn ich im Outlook auf verschlüsseln drücke, dann nimmt er doch mein Zertifikat das in den Einstellungen eingestellt ist. Dort kann ich kein Fremdes einrichten.

    > Bei der TLS Transportverschlüsselung wird ja by Default der Transportweg mit dem Standardzertifikat des Absenders verschlüsselt. Das machen ja die Mailserver unter sich aus. Bei TLS muss nur der Sender ein Zertifikat besitzen, nicht der Empfänger, oder?
    Nein, mit dem Zertifikat des Empfängers!

    Wie bekommt denn dann beim TLS der absende Server meinen öffentl. Schlüssel? Baut der absendende Server eine Verbindung zu unserem Gateway auf, die klären ab ob sie TLS können, dann gibt unser Server ihm unseren öffentl. Schlüssel und dann verschlüsselt der absendende Server damit den Transportweg?

    Danke!

    Dienstag, 4. Oktober 2016 12:36
  • Am 04.10.2016 schrieb Paulchen Panther:
    Hi,

    vielen Dank. Ich war bisher immer der Meinung das ich mit meinem privaten Schlüssel verschlüssele und der Empfänger mit meinem Öffentlichen entschlüsselt, das er vorab von mir bekommen muss.

    Wäre irgendwie doof, wenn man mit dem ÖFFENTLICHEN Schlüssel entschlüssseln könnte, meinst du nicht? ;)

    Bye
    Norbert


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 4. Oktober 2016 12:48
  • Wenn nur er ihn hat, dann wäre das kein Problem, wenn der sich aber verteilt, dann hast du recht! ;)
    Dienstag, 4. Oktober 2016 13:43
  • Am 04.10.2016 schrieb Paulchen Panther:

    Wenn nur er ihn hat, dann wäre das kein Problem, wenn der sich aber verteilt, dann hast du recht! ;)

    Warum heißt der Key wohl public key? Wie Robert schon schrub, mit deinem public Key wird ja jede deiner Mails signiert (wenn gewollt). Damit hast du logischerweise ein gesteigertes Interesse daran, deinen public Key zu verteilen, damit dir auch verschlüsselte Emails geschickt werden können.
    Wie heißt der Key, den man nicht verteilt? ;)
    Bye
    Norbert


    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/


    Dienstag, 4. Oktober 2016 13:57
  • > vielen Dank. Ich war bisher immer der Meinung das ich mit meinem privaten Schlüssel verschlüssele und der Empfänger mit meinem Öffentlichen entschlüsselt, das er vorab von mir bekommen muss. (Über digitale Signatur) Aber wieder etwas gelernt

    Das würde ja bedeuten, dass jeder, der Deinen Schlüssel hat, Deine Mails entschlüsseln kann. Klingt nicht wirklich sinnvoll, oder?

    > Vorgehen bei Mailverschlüsselung: Empfänger schickt mir eine digital signierte Mail und ich füge sein Zertifikat in meine Outlookkontakte ein. Wie verwende ich aber dann diesen öffentl. Schlüssel um die Mail an den Empfänger zu verschlüsseln? Wenn ich im Outlook auf verschlüsseln drücke, dann nimmt er doch mein Zertifikat das in den Einstellungen eingestellt ist. Dort kann ich kein Fremdes einrichten.

    Outlook nimmt natürlich das Zertifikat des Empfängers. Das befindet sich entweder im Kontakt oder im Globalen Adressbuch über AD. Dein eignes Zertifikat wird nur beim Signieren benutzt.

    (Und, wie schon mehrfach gesagt: Die Kopie in den gesendeten Objekte ist ein zweites Mal mit dem eigenen Zertifikat verschlüsselt, daher braucht man auch selbst eins.)

    > Wie bekommt denn dann beim TLS der absende Server meinen öffentl. Schlüssel? Baut der absendende Server eine Verbindung zu unserem Gateway auf, die klären ab ob sie TLS können, dann gibt unser Server ihm unseren öffentl. Schlüssel und dann verschlüsselt der absendende Server damit den Transportweg?

    Korrekt.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Dienstag, 4. Oktober 2016 14:15
  • Danke für die Antworten.
    Dienstag, 4. Oktober 2016 15:08
  • Ich habe es mal auf zwei internen Rechnern mit dem Comodo Testzertifikat getestet und ich konnte die Mail verschlüsseln aber der Partner nicht. Der Partner hat auch den Button in der GAL veröffentlichen!

    Da muss irgend etwas an der Policy verdreht sein.

    Danke

    Donnerstag, 6. Oktober 2016 12:24