Willkommen auf myCSharp.de! Anmelden | kostenlos registrieren
 | Suche | FAQ

Hauptmenü
myCSharp.de
» Startseite
» Forum
» Suche
» Regeln
» Wie poste ich richtig?

Mitglieder
» Liste / Suche
» Wer ist online?

Ressourcen
» FAQ
» Artikel
» C#-Snippets
» Jobbörse
» Microsoft Docs

Team
» Kontakt
» Cookies
» Spenden
» Datenschutz
» Impressum

  • »
  • Community
  • |
  • Diskussionsforum
Wie kann ich ein S/MIME Zertifikate selbst erstellen?
JimStark
myCSharp.de - Member

Avatar #dOpLzh7hN1az1g0eGRc0.jpg


Dabei seit:
Beiträge: 225

Themenstarter:

Wie kann ich ein S/MIME Zertifikate selbst erstellen?

beantworten | zitieren | melden

Hey,
ich denke einige kennen sich in diesem Themengebiet recht gut aus deswegen mal eine etwas andere Frage:
Als Vorbeugung vor Scamern und für sensiblere Daten möchte ich gerne für uns E-Mail Zertifikate erstellen und nutzen, damit wir Mails signieren und ggf. verschlüsseln können.
Jetzt kann ich ja bei verschiedenen Anbietern welche für einzelne Mailadressen/Abteilungsadressen erstellen und validieren lassen und z.B. einfach in Outlook importieren.
Ich kenne aber viele Unternehmen die selbst Zertifikate ausstellen. Wie funktioniert das dann und mit der Gültigkeit? Ich schätze ich brauche eine Art Rootzertifikat damit ich als Aussteller zertifiziert bin oder? Welche Infrastruktur brauche ich dafür und wieviel kostet sowas ca.? Und ab wann rentiert sich sowas überhaupt?

Viele Grüße!
private Nachricht | Beiträge des Benutzers
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 15618
Herkunft: BW

beantworten | zitieren | melden

Zitat
ch kenne aber viele Unternehmen die selbst Zertifikate ausstellen. Wie funktioniert das dann und mit der Gültigkeit?

Zertifikate brauchen immer eine Gültigkeitsquelle.

SMIME hat im Gegensatz zu anderen Zertifikatstypen die Besonderheit, dass man keine eigentliche Root CA benötigt, sondern den Public Key vom Signierungszertifikat im DNS hinterlegen kann, die sogenannten SMIMEA Records (=> DNSSEC).
Der Client holt sich daher anhand der DNS Informationen alles was er braucht, um die Signatur validieren zu können.

Die eigentlichen SMIME Zertifikate gibts so nicht mehr bzw. sind sie ihrem Ende nahe.
Daher gibts hier auch keine kostenlosen Angebote mehr, wie sie zB SSLFree und Co alle für SMIME hatten.

Kosten sind daher 0.
Zitat
Und ab wann rentiert sich sowas überhaupt?
Das musst Dir selbst beantworten.
SMIME ist immer noch nicht "Standard" und wirds wohl auch nie werden.

Der Benefit beim Einsatz von insgesamt ist eher gering; manche sagen sogar, dass SMIME Kontraproduktiv ist, weil die Nutzer in ihren E-Mail Apps plötzlich nen Icon sehen, mit dem sie nichts anfangen können, es als ungewöhnlich wahrnehmen und Mails eher löschen "weils komisch ist".
private Nachricht | Beiträge des Benutzers
JimStark
myCSharp.de - Member

Avatar #dOpLzh7hN1az1g0eGRc0.jpg


Dabei seit:
Beiträge: 225

Themenstarter:

beantworten | zitieren | melden

Zitat von Abt

SMIME hat im Gegensatz zu anderen Zertifikatstypen die Besonderheit, dass man keine eigentliche Root CA benötigt, sondern den Public Key vom Signierungszertifikat im DNS hinterlegen kann, die sogenannten SMIMEA Records (=> DNSSEC).
Der Client holt sich daher anhand der DNS Informationen alles was er braucht, um die Signatur validieren zu können.

Vielen Dank für deine Antwort!
Das heißt ich erstelle mir z.B. in Powershell ein Self-Signed-Certificate.
Den public key hinterlege ich mir im DNS wie von dir beschrieben, vorausgesetzt mein Hoster unterstützt DNSSEC.
Dann checkt Outlook vom Empfänger per Abfrage ob das Zertifikat valid ist? (Also entspricht Class 1 oder?!)

Also wie hier: SMIMEA - Type 53?
Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von JimStark am .
private Nachricht | Beiträge des Benutzers
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 15618
Herkunft: BW

beantworten | zitieren | melden

Es wird nur geprüft, ob der Public Key des Zertifikats der Signierung im DNS hinterlegt ist - nicht mehr, ja.
private Nachricht | Beiträge des Benutzers
JimStark
myCSharp.de - Member

Avatar #dOpLzh7hN1az1g0eGRc0.jpg


Dabei seit:
Beiträge: 225

Themenstarter:

beantworten | zitieren | melden

Okay vielen Dank für die Info! Hat mir sehr geholfen.

Mein Hoster unterstützt es natürlich nicht :D
private Nachricht | Beiträge des Benutzers
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 15618
Herkunft: BW

beantworten | zitieren | melden

Was muss nen Hoster da unterstützen? Ist doch nur DNS Eintrag setzen.
private Nachricht | Beiträge des Benutzers
JimStark
myCSharp.de - Member

Avatar #dOpLzh7hN1az1g0eGRc0.jpg


Dabei seit:
Beiträge: 225

Themenstarter:

beantworten | zitieren | melden

DNSSEC Unterstützung. Bzw. kann ich keinen Eintrag mit dem SMIMEA-Typ erstellen
private Nachricht | Beiträge des Benutzers
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 15618
Herkunft: BW

beantworten | zitieren | melden

Okay, das ist dann wirklich ein Hoster-Thema.

Ich hab die DNS Verwaltung aller meiner Domains (auch mycsharp.de) bei CloudFlare, und hier ist das problemlos möglich (übrigens auch direkt bei Azure DNS).

Dazu muss die Domain selbst nicht bei CF registriert sein, sondern die Nameserver auf CF zeigen.
Leider unterstützen nicht alle Hoster das Eintragen eigener Nameserver.
private Nachricht | Beiträge des Benutzers