S/MIME

    Hallo, ich verzweifele gerade an der Dokumentation zu diesem Thema.


    1. Ich möchte, dass User A (Dominoumgebung ND7) und User B (Firma mit Outlook) verschlüsselte Mails austauschen können. Hin und her.


    2. Ich möchte auch, dass User A mit zwei, drei weiteren Firmen und bestimmten Usern daraus, verschlüsselte Mails austauschen können.


    Der Domino Server verwendet den CA Prozess und der Internet Zertifizierer ist bereits eingerichtet, ebenfalls existiert die certreq.nsf.


    Hat dies schon mal jemand erfolgreich eingerichtet und verrät dieser jemand mir bitte die Wege dahin. Das wäre super.


    Im Moment möchte ich keine Anworten in denen auf VeriSign oder Thawte hingewiesen wird.


    Vielen Dank schon mal!

    Hallo,


    ich brauche einfach ne Art Checkliste. Mache 1. 2. 3. .... und dann gehts. Vieleicht habt ihr Eure Arbeit dokumentiert, dann wäre das toll.


    Gruß


    Ah, ich sehe gerade das BastinW dieselben Dinge lösen möchte und mit dir schon in Kontakt ist. Dann weise ihn doch mal auf meine Anfrage hin und Du brauchst nichts doppelt schreiben.


    Marcel

    Also von der Theorie läuft es so:


    Wenn UserA mit einem UserB verschlüsselte Mails austauschen will, so muß er über den public-Key von UserB verfügen. Diesen kann er erhalten, wenn ihm UserB eine signierte Mail zusendet.
    Um eine verschlüsselte Mail an UserB zu schicken, braucht UserA jedoch eigentlich kein eigenes Zertifikat, erst wenn UserB ihm verschlüsselt antworten will...


    Meine Erfahrung basiert auf Domino 6.5 ich weiß nicht, was sich in Domino 7 geändert hat.
    Zuerst muß ein Internet-Zertifizierer erstellt werden, dies läuft über den Adminclient bei Server-Registrierung-Internetzertifizierer.


    Es werden zwei neue Datenbanken erstellt:
    1. die Certificate Authority Verwaltungsdatenbank
    2. Die ICL Issued Certificate List Datenbank


    Wenn man dies getan hat (dazwischen müssen noch ein paar Rätsel gelöst werden, die ich jetzt nicht mehr im Kopf habe. Ich kann jetzt leider nicht testweise eine CA aufsetzen) kann man die Personen, die ein Cert erhalten sollen in der Userliste auswählen und dann "Add Internetcertificate to selected people" im Adminclient unter Aktionen im Adminclient starten und schwupps nach ein paar Sekunden haben die Leute ihr Zertifikat, dass dann beim nächsten Login in die ID integriert wird. Wenn die user nun "signieren" auswählen bei ihrer Internetmail, so wird die Mail mit diesem Zertifikat signiert.



    Zertifikate werden in der ICL Datenbank revoked, also für ungültig erklärt.
    Wenn externe Personen Zertifikate von dieser CA haben möchten (z.B. für Authentifizierungszwecke) dann muß die CA Datenbank im Web zur verfügung gestellt werden.


    Ich hoffe, ich hab dir eine Anfangsdoku gegeben (alles aus dem Kopf), probier es mal aus und frag mich, wenn Du probleme kriegst...


    Gruß


    Norbert

    Das klang alles gut und einfach, folgendes ist eben passiert,


    1."Add Internetcertificate to selected people" >ok
    2. Kontrolle im Personendokument > Cert ist da
    3 Mail geschrieben, nach Sende Button folg. Meldung,


    Fehler bei Mail Verschlüsselung


    -------------------------------------------------------------------------
    Wenn Sie jetzt SENDEN klicken wird die Mail unverschlüsselt an folg Empfänger gesendet:


    "xxx.xxx@xxx.de


    Grund:


    Das Internet Zertifikat dieses Empfängers wurde nicht im Verz. gefunden.Entweder wurde kein Eintrag mit der passenden Internet-Adresse gefunden, oder es wurde zwar ein passender Eintrag gefunden, der jedoch kein Internet Zertifikat enthielt.
    ------------------------------------------------------------------------


    Hm, natürlich gibt es den Benutzer nicht in meinen Adressbuch. Wo ist der Haken?


    M

    Du hast den Public key des Mailpartners noch nicht. Den erhältst Du, wenn er Dir eine signierte Mail sendet. Deinen Public key kannst du ebenfalls mit einer signierten Mail an ihn versenden....


    Wenn Du nun eine signierte Mail von ihm erhältst, dann fragt der Client, ob er dieses Zert gegenzertifizieren soll. Da sagst Du ja und schwups ist der public key in deinem Adressbuch....


    Wenn Du nun eine verschlüsselte Mail an ihn senden möchtest, sollte es klappen....


    Gruß


    Norbert (der-durch-alle-Widrigkeiten-des-S/MIME gegangene)

    Schau mal in deine PM.
    ---------------------------


    Das klingt verständlich, aber einer muß den Anfang machen. Ich als User A (Domino) will den Anfang machen und User B (Outlook) soll meinen public key akzeptieren.
    Ich habe also jetzt als User A mit Internet Zertifikat User B eine Mail gesendet, mit Signatur (nicht verschlüsselt!), diese ging ohne obige Fehlermeldung raus.
    User B wird im Outlook darauf hingewiesen, das Mail signiert ist und ob er dieser Signatur vertrauen soll. User B hat sein Vertrauen ausgesprochen.
    Wo bleibt der Schritt mit den public key? An welcher stelle stehe ich auf der Leitung?


    M

    So jetzt kann User B Dir eine signierte Antwortmail schreiben, oder sogar schon eine signiert und verschlüsselte....


    Das ist der Austausch der public keys...


    Gruß
    Norbert

    ui... und ich wühle mich gerade durch sämtliche Anleitungen die ich so finden kann :)


    Bekommt der user wenn er einen Key bekommt immer eine Nachricht? Kann man den Key aus dem Adressbuch eigentlich auch exportieren?

    Schön, dass Ihr jetzt auch alle bei diesem Thema angekommen seid... Domino 7 propagiert ja jetzt S/MIME (hab ich gehört :) , hab noch keins gesehen, kein Budget da :-x )



    Dann bin ich ja jetzt nicht mehr so einsam auf dem Thema...


    Also bei Notes 6.5 kriegt der User immer eine Nachricht, wenn er eine signierte Mail erhält, deren public key noch nicht im Adressbuch ist. Er wird gefragt, ob er diesem key traut (er muß ihn gegenzertifizieren). Das ist auch wichtig, sonst könnte ich ja auch ein gefaktes Zertifikat zur signierung einer gefakten Mail verwenden...


    Und ja... unter den Aktionen im Adressbuch gibt es die Option das Internetzertifikat einer Person zu exportieren...


    Gruß


    Norbert