Wie kann ich ein S/MIME Zertifikate selbst erstellen?

Hey,
ich denke einige kennen sich in diesem Themengebiet recht gut aus deswegen mal eine etwas andere Frage:
Als Vorbeugung vor Scamern und für sensiblere Daten möchte ich gerne für uns E-Mail Zertifikate erstellen und nutzen, damit wir Mails signieren und ggf. verschlüsseln können.
Jetzt kann ich ja bei verschiedenen Anbietern welche für einzelne Mailadressen/Abteilungsadressen erstellen und validieren lassen und z.B. einfach in Outlook importieren.
Ich kenne aber viele Unternehmen die selbst Zertifikate ausstellen. Wie funktioniert das dann und mit der Gültigkeit? Ich schätze ich brauche eine Art Rootzertifikat damit ich als Aussteller zertifiziert bin oder? Welche Infrastruktur brauche ich dafür und wieviel kostet sowas ca.? Und ab wann rentiert sich sowas überhaupt?

Viele Grüße!

ch kenne aber viele Unternehmen die selbst Zertifikate ausstellen. Wie funktioniert das dann und mit der Gültigkeit?

Zertifikate brauchen immer eine Gültigkeitsquelle.

SMIME hat im Gegensatz zu anderen Zertifikatstypen die Besonderheit, dass man keine eigentliche Root CA benötigt, sondern den Public Key vom Signierungszertifikat im DNS hinterlegen kann, die sogenannten SMIMEA Records (=> DNSSEC).
Der Client holt sich daher anhand der DNS Informationen alles was er braucht, um die Signatur validieren zu können.

Die eigentlichen SMIME Zertifikate gibts so nicht mehr bzw. sind sie ihrem Ende nahe.
Daher gibts hier auch keine kostenlosen Angebote mehr, wie sie zB SSLFree und Co alle für SMIME hatten.

Kosten sind daher 0.

Und ab wann rentiert sich sowas überhaupt?

Das musst Dir selbst beantworten.
SMIME ist immer noch nicht "Standard" und wirds wohl auch nie werden.

Der Benefit beim Einsatz von insgesamt ist eher gering; manche sagen sogar, dass SMIME Kontraproduktiv ist, weil die Nutzer in ihren E-Mail Apps plötzlich nen Icon sehen, mit dem sie nichts anfangen können, es als ungewöhnlich wahrnehmen und Mails eher löschen "weils komisch ist".

SMIME hat im Gegensatz zu anderen Zertifikatstypen die Besonderheit, dass man keine eigentliche Root CA benötigt, sondern den Public Key vom Signierungszertifikat im DNS hinterlegen kann, die sogenannten SMIMEA Records (=> DNSSEC).
Der Client holt sich daher anhand der DNS Informationen alles was er braucht, um die Signatur validieren zu können.

Vielen Dank für deine Antwort!
Das heißt ich erstelle mir z.B. in Powershell ein Self-Signed-Certificate.
Den public key hinterlege ich mir im DNS wie von dir beschrieben, vorausgesetzt mein Hoster unterstützt DNSSEC.
Dann checkt Outlook vom Empfänger per Abfrage ob das Zertifikat valid ist? (Also entspricht Class 1 oder?!)

Also wie hier: SMIMEA - Type 53?

Es wird nur geprüft, ob der Public Key des Zertifikats der Signierung im DNS hinterlegt ist - nicht mehr, ja.

Okay vielen Dank für die Info! Hat mir sehr geholfen.

Mein Hoster unterstützt es natürlich nicht 😄

Was muss nen Hoster da unterstützen? Ist doch nur DNS Eintrag setzen.

DNSSEC Unterstützung. Bzw. kann ich keinen Eintrag mit dem SMIMEA-Typ erstellen

Okay, das ist dann wirklich ein Hoster-Thema.

Ich hab die DNS Verwaltung aller meiner Domains (auch mycsharp.de) bei CloudFlare, und hier ist das problemlos möglich (übrigens auch direkt bei Azure DNS).

Dazu muss die Domain selbst nicht bei CF registriert sein, sondern die Nameserver auf CF zeigen.
Leider unterstützen nicht alle Hoster das Eintragen eigener Nameserver.