Das SEPPmail Secure E-Mail Gateway beinhaltet eine vollständige PKI und verwaltet User Schlüssel beziehungsweise Zertifikate zentral im System. E-Mail Zertifikate können von beliebigen CAs eingespielt werden. Zu den wichtigsten CAs stellt SEPPmail jedoch Konnektoren zur Verfügung: |
Aktive Konnektoren |
Beschreibung |
---|---|
D-Trust |
Bundesdruckerei (Deutschland) |
Deutsches Forschungsnetz |
Zertifizierungsstelle des Deutschen-Forschungsnetzes |
DigiCert |
akkreditierte US amerikanische Zertifizierungsstelle mit Sitz in Lehi / Utah |
DigiCert CertCentral (neu in 13.0.7) |
akkreditierte US amerikanische Zertifizierungsstelle mit Sitz in Lehi / Utah |
GlobalSign |
akkreditierte Zertifizierungsstelle mit Sitz in Grossbritannien |
GlobalTrust |
akkreditierte Zertifizierungsstelle mit Sitz in Österreich |
QuoVadis Trustlink |
International akkreditierte Schweizer CA |
SCEP |
Protokoll, durch welches CAs diverser Hersteller – auch Microsoft – angebunden werden können. Dabei handelt es sich jedoch (noch) um keinen Standard (RFC). |
SECTIGO |
akkreditierte US amerikanische Zertifizierungsstelle mit Sitz in Roseland / New Jersey |
SwissSign |
Zertifizierungsstelle der Schweizerischen Post |
Konnektoren in Vorbereitung |
Beschreibung |
---|---|
A-Trust |
akkreditierte Zertifizierungsdiensteanbieter für qualifizierte Zertifikate in Österreich und Liechtenstein |
Entrust |
akkreditierte US amerikanische Zertifizierungsstelle mit Sitz in Dallas / Texas |
Über diese Konnektoren können E-Mail- und gegebenenfalls Personenzertifikate automatisiert von den entsprechenden CAs bezogen werden. Das jeweils zum Tragen kommende Verfahren kann dabei unterschiedlich sein. In der Appliance werden die so bezogenen Zertifikate den Usern automatisiert zugeordnet und zur Signatur herangezogen.
Der Bezug von Zertifikaten für die E-Mail-Konten ist daher flexibel und individuell konfigurierbar.
Bei Anlage eines neuen Benutzers - dies kann wahlweise automatisch, zum Beispiel durch Anfordern von Verschlüsselung oder Signatur, oder manuell erfolgen - kann gewählt werden, ob ein E-Mail Zertifikat automatisch ausgestellt werden soll. Dieses kann dann von der internen (Zwischen-)Zertifizierungsstelle oder auch (Sub-)CA oder über die MPKI Schnittstelle bezogen werden. Bei Bedarf sind auch beide Varianten parallel möglich.
Wird das Zertifikat über die MPKI bezogen, so wird das Schlüsselpaar in der Regel auf dem SEPPmail Secure E-Mail Gateway generiert und nur der öffentliche Schlüssel zum Signieren an die vertrauenswürdige Zertifizierungsstelle (trusted CA) übermittelt. Der sensible private Schlüssel verlässt bei diesem Verfahren zu keiner Zeit die Appliance und liegt dort – wie das gesamte Schlüsselmaterial – in einem gesicherten Bereich ab.
Auch das Erneuern der Zertifikate ist vollautomatisiert möglich. Dabei wird in der Regel ein Überschneidungszeitraum eingerichtet, sodass bereits vor Ablauf eines Zertifikates ein neues generiert wird. Durch diese Überschneidung ist gewährleistet, dass den Kommunikationspartner spätestens zum Ablauf des alten Zertifikates bereits ein neues, gültiges Zertifikat für das Verschlüsseln vorliegt.
Für den MPKI Funktionsablauf ist in unserem YouTube Channel ein entsprechendes Erklärvideo zu finden.