Empfangen mit unterschiedlichen Zertifikaten - ist das möglich?

[Jürgen Schlenker]

Wir haben grundsätzlich S/MIME-Zertifikate pro Postfach/User.

Jetzt gibt es einen Partner der darauf besteht, dass wir ein Domainzertifikat bei unseren ausgehenden Mails verwenden.
Der Partner unterstützt keine andere Lösung für bei ihm eingehende Mails.

Gibt es mit NSP eine Möglichkeit Mails standardmäßig immer mit dem persönlichen Zertifikat zu entschlüsseln, jedoch bei Mails von der Domain „Xyz.de“ immer ein Domainzertifikat zu verwenden?

Danke für euer Feedback!

 

[869288141]

dass wir ein Domainzertifikat bei unseren ausgehenden Mails verwenden.

Was meinst du mit Domain Zertifikat? Es gibt SSL-, E-Mail-, Code Singing-, E-Zertifikate.

 

[Sören]

Was meinst du mit Domain Zertifikat? Es gibt SSL-, E-Mail-, Code Singing-, E-Zertifikate.

er meint, was er geschrieben hat:

S/MIME-Zertifikate

Zu deiner Frage:

„Xyz.de“ immer ein ausgehendes Domainzertifikat zu verwenden?

Mir ist kein Weg bekannt, ergibt auch keinen Sinn was dein Partner da "fordert"... aber das weißt du sicherlich bereits ^^
Die einzige Option die ich sehe, an den Partner nicht mehr zu signieren.

 

[Jürgen Schlenker]

Was meinst du mit Domain Zertifikat? Es gibt SSL-, E-Mail-, Code Singing-, E-Zertifikate.

Lieber 869288141, ich bin leider kein Besserwisser, sondern ein ganz einfacher Anwender - der vielleicht nicht die korrekten Ausdrücke verwendet. Bitte entschuldige das!

Erklärung für dich und für alle die nicht verstehen was gemeint war:
In NSP im Bereich Partner unter Zertifikate gibt es die Option "Zu Domänenzertifikat heraufstufen". Ich meine solch ein heraufgestuftes Zertifikat.

 

[JanJäschke]

Guten Morgen @Jürgen Schlenker ,

es gibt hier zwei Fälle die du betrachten musst:
1. ausgehende Signatur
2. ausgehende Verschlüsselung

[1]Für den ersten Fall (so wie es für mich bisher klang der relevante) gibt es keine "Lösung". Wenn du ein Zertifikat zum Domänen Zertifikat für deine eigene Domäne heraufstufst, dann wird dieses immer zum signieren verwendet wenn signiert werden soll und der interne Abesender kein eigenes Zertifikat hat.

[2] Für den zweiten Fall ist sieht es besser aus.
Wenn du für den partner ein Zertifikat von ihm zum Domänen Zertifikat hochstufst wird immer mit diesem Zertifikat verschlüsselt wenn verschlüsselt werden soll und der Empfänger kein eigenes Zertifikat hat / bekannt ist.

Der zweite Fall ist in der Regel das gewünschte Szenario und auch aus meiner Sicht das einzige wo dir der Partner sagen kann "das musst du so machen".
Er kann dich schlecht dazu "nötigen" deine E-Mails mit einer "falschen" Signatur zu versenden
Daher würde ich tippen es geht um Fall zwei und deine Lösung wäre: Den Partner fragen welches Zertifikat genutzt werden soll. Dieses im NSP hinterlegen und dann einfach hochstufen. Den rest macht NSP ganz automatisch


Und noch eine ganz persönliche Anmerkung:
Aus meiner Sicht ist die Nutzung von "Domänen" Zertifikaten kein guter Ansatz, die Unternehmen machen dies um Geld zu sparen, man "verletzt" damit aber in jedem Falle die eigentliche Integrität der Verschlüsselung. Da könnte man auch einfach PGP machen ^^

 

[Jürgen Schlenker]

Danke Jan,
genau so machen wir es mit vielen Partnern:

Wir verschlüsseln mit deren "Domainzertifikaten" und die antworten mit unseren Zertifikaten oder unverschlüsselt.

 

[JanJäschke]

Das ist auch der "Sinnvolle" weg.

Je nach dem sonst die Signatur für den Partner gänzlich deaktivieren?
Aber wie gesagt ich würde da eher den Dialog suchen, denn er kann dir nicht "vorschreiben" mit einem "Domänenzertifikat" signieren zu müssen.

 

[Jürgen Schlenker]

Danke Jan, deine Antworten sind klar und verständlich.
Ich frage trotzdem nochmal etwas:
Der Partner "Muster.de" sendet uns sein Domainzertifikat.. Das importieren wir für die Domäne "muster.de"

Normalerweise:
Wenn ich ihm antworte kommt mein "j.schlenker@zfp-winnenden.de"-Zertifikat mit der ausgehenden Mail an ihn und seine Antwort wird mit dem "j.schlenker@zfp-winnenden.de"-Zertifikat verschlüsselt.

Wunschlösung:
Gibt es folgende Option: Wir lassen ein Zertifikat z.B. "Domain@zfp-winnenden.de" erstellen.. Senden das an die Partner "Muster.de". Der Partner verwendet für ausgehende Mails an alle unsere "ZfP-Winnenden.de"-Adressen zur Verschlüsselung den Public key aus "Domain@zfp-winnenden.de" und das NSP entschlüsselt die bei uns eigehenden Mails mit diesem Key.
Das heißt ich (und alle Kollegen) bekommen vom Partner "Muster" eine Mail, die mit unserem "Domain@zfp-winnenden.de" Zertifikat verschlüsselt sind und von allen anderen Partnern bekommen wir Mails die mit "v.name@zfp-winnenden.de" verschlüsselt sind.

Beide Arten werden bei uns im Haus entschlüsselt.

 

[JanJäschke]

Hallo Jürgen,

das funktioniert.
Du nimmst das gewünschte eigene Zertifikat und stufst es zum Domänen Zertifikat herauf.
Dafür gehst du in den NSP Benutzer -> Zertifikate -> wählst das Zertifikat aus und sagst "Heraufstufen".
Ggf. stellst du danach noch in deiner eigenen Domäne ein, dass mit dem Zertifikat nicht signiert werden soll (außer es wäre gewünscht).
NSP signiert immer erst wenn möglich mit einem Benutzerspezifischen Zertifikat und nur wenn der Absender keins hat mit dem hochgestuften.
Beim entschlüsseln wir dann damit entschlüsselt was ankommt, durch das hochstufen wurde lediglich erlaubt, dass ein "falsches" Zertifikat zur Verschlüsselung genutzt werden darf.

Bitte halt im Hinterkopf, dass du dies mit deinem Partner 1:1 absprechen musst, nicht jeder kann oder will damit umgehen.


LG
Jan