Das SEPPmail Secure E-Mail Gateway beinhaltet eine vollständige Zertifizierungsstelle. Diese kann als sogenannte self-signed CA aber auch als Sub-CA konfiguriert werden.
Alternativ können trusted-CA Zertifikate automatisiert über die Managed Public Key Infrastructure (MPKI) Konnektoren bezogen werden.
Abschnitte auf dieser Seite:
|
Das CA Zertifikat dieses Menüpunktes ist maschinenbezogen und wird somit nicht im Cluster synchronisiert. Gegebenenfalls muss - je nach Bedarf - auf jedem Cluster Partner ein eigenes Zertifikat verwendet oder dasselbe Zertifikat importiert werden. Die Settings hingegen werden synchronisiert. |
|
Das Verwenden einer self-signed CA ist für das Signieren von E-Mails meist nicht zu empfehlen, da die Signaturen von den Empfängern in der Regel nicht automatisiert geprüft werden können. Dennoch kann das Einrichten der internen Zertifizierungsstelle sinnvoll sein, da die angegebenen Attribute auch für das Erstellen der Domänenzertifikate (siehe Mail System Managed domain S/MIME domain encryption) verwendet werden. |
Ist bereits ein CA-Zertifikat eingebunden, so wird dieses wie unten folgt angezeigt.
Andernfalls kann über Request or create a certificate authority... ein Certificate Signing Request (CSR), für ein CA oder Sub-CA Zertifikat beziehungsweise ein self-signed CA Zertifikat erzeugt werden. Das Verwenden eines self-signed CA Zertifikats empfiehlt sich aus oben genannten Gründen jedoch in der Regel nur auf Test Systemen.
|
Beim Signieren des CSR ist auf der signierenden CA darauf zu achten, dass die Attribute •ist SubCA •kann Serverzertifikate ausstellen •kann Clientzertifikate ausstellen mit angegeben werden. |
Über Import existing certificate authority... kann ein vorhandenes CA- oder Sub-CA Zertifikat importiert werden. Das daraufhin erscheinende Sub-Menü ist vom Aufbau identisch zu dem aus SSL .
|
Soll die CA als Sub-CA arbeiten, so ist an dieser Stelle das Sub-CA Zertifikate inklusive der Zertifikatskette bis zur Root-CA einzufügen. Ohne gültiger Zertifikatskette wird das Ausstellen von Zertifikaten scheitern. |
Wird oben in der Statusleiste des Menüs die gelb hinterlegte Information Remember to import the signed certificate angezeigt, so erscheint lediglich die Schaltfläche Continue certificate signing request.... Damit wird der mittels Request or create a certificate... gestartete Zertifikatsbezug via CSR fortgeführt, beziehungsweise abgeschlossen.
Mit Sign certificate request... besteht die Möglichkeit, extern generierte CSRs mit der internen CA zu signieren. Bei Anklicken der Schaltfläche öffnet das Sub-Menü , in welchem der eigentliche Signatur-Prozess durchgeführt werden kann.
Diese Sektion zeigt Informationen über den Inhaber des CA-Zertifikates.
Abhängig vom Zertifikat müssen nicht alle hier aufgeführten Parameter vorhanden sein.
Parameter |
Beschreibung |
|---|---|
Gibt den Namen der eigenen Zertifizierungsstelle an |
|
In der Regel der wird die E-Mail Adresse des Verwalters der eigenen Zertifizierungsstelle oder dessen Abteilung eingetragen. |
|
Organisationseinheit wie zum Beispiel ein Abteilungsname wie «Sicherheit» |
|
Gibt die Organisation an, für welche das Zertifikat ausgestellt wurde, zum Beispiel «Firma» |
|
Standort zum Beispiel eine Stadt wie «Neuenhof» |
|
Bundesland, Kanton, Provinz oder Ähnliches, zum Beispiel «AR» für «Appenzell Ausserrhoden» |
|
Land, zum Beispiel «CH» für «Schweiz» |
|
Seriennummer des Zertifikats |
Diese Parameter werden bei von der internen CA ausgestellten Zertifikate als «Issuer» angezeigt.
Diese Sektion zeigt Informationen über den Aussteller des CA-Zertifikates (Wurzel-Zertifikat).
Abhängig vom Aussteller müssen nicht alle hier aufgeführten Parameter vorhanden sein.
Parameter |
Beschreibung |
|---|---|
Gibt den Namen der eigenen Zertifizierungsstelle an |
|
In der Regel der wird die E-Mail Adresse des Verwalters der eigenen Zertifizierungsstelle oder dessen Abteilung eingetragen. |
|
Organisationseinheit wie zum Beispiel ein Abteilungsname wie «Sicherheit» |
|
Gibt die Organisation an, für welche das Zertifikat ausgestellt wurde, zum Beispiel «Firma» |
|
Standort zum Beispiel eine Stadt wie «Neuenhof» |
|
Bundesland, Kanton, Provinz oder Ähnliches, zum Beispiel «AR» für «Appenzell Ausserrhoden» |
|
Land, zum Beispiel «CH» für «Schweiz» |
Gibt die Gültigkeit des eigenen CA-Zertifikates an.
Parameter |
Beschreibung |
|---|---|
Ausstelldatum des Zertifikates |
|
Ablaufdatum des Zertifikates |
Der fingerprint ist die Prüfsumme (eben auch hash oder fingerprint) und dient dem Überprüfen eines Zertifikats. An dieser Stelle wird der Hash-Algorithmus (zum Beispiel MD5 SHA1 oder SHA256), mit welchem die Prüfsumme gebildet wurde, sowie der berechnete Wert angezeigt. Sind mehrere fingerprints unterschiedlicher Algorithmen vorhanden, so wird jeder in einer separaten Zeile ausgegeben.
Parameter |
Beschreibung |
|---|---|
Beispiel eines SHA1 Fingerprints: 48:2D:99:B1:64:C1:14:9C:B3:F2:C0:8D:FA:7F:40:9F:22:F5:11:F5 |
Sektion Certificate Revocation List
kurz CRL. Wurde die interne Zertifizierungsstelle konfiguriert, so hält diese eine Revokationsliste für die von ihr ausgestellten Zertifikate vor. Sollte ein Privater Schlüssel kompromittiert worden sein, so kann dieser in der Benutzerkonfiguration (siehe Users S/MIME) als ungültig erklärt (revoziert) werden und taucht dann in der Revokationsliste auf. Diese kann über die Schaltfläche Create and download CRL heruntergeladen und somit abgefragt werden.
In dieser Sektion werden die Einstellungen für die self-signed, beziehungsweise Sub-CA eingegeben.
Die genannten extension settings sind die Standard Einstellung beim Einrichten einer self-signed CA.
Soll eine Sub-CA Eingerichtet werden, gibt in der Regel der Betreiber der Haupt-CA entsprechende Werte vor.
Parameter |
Beschreibung |
||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Als static subject part tauchen im Standard die beim Erstellen der Zertifizierungsstelle eingegebenen Parameter für Land (hier ist die zweistellige ISO Länderkennung zu verwenden), Organisationseinheit und Organisation auf, also zum Beispiel /C=CH/OU=Sicherheit/O=Firma |
|||||||||||
Im Standard ist der Wert 3650 vorbelegt. Gibt die Gültigkeit der ausgestellten Zertifikate in Tagen an.
|
|||||||||||
Im Standard ist der Wert 30 vorbelegt. Gibt die Gültigkeit der Certificate Revocation List in Tagen an. |
|||||||||||
|
|
|||||||||||
|
|
Diese Option ist im Standard inaktiv und mit dem Wert 90 vorbelegt. Initiiert das automatische Erneuern von Zertifikaten aktiver Benutzer (Users), sofern die eingestellte Restlaufzeit unterschritten ist. Voraussetzung hierfür ist, dass der entsprechende Benutzer innerhalb der eingestellten Überschneidungszeit eine E-Mail sendet. Damit wir vermieden, dass für «Leichen» im Menü Users Zertifikate bezogen werden.Der so initiierte Prozess wird über Nacht (!) abgearbeitet. Revozierte oder bereits abgelaufene Zertifikate werden nicht berücksichtigt.
|
|||||||||
|
|
Diese Option ist im Standard inaktiv. Bezieht für alle existenten, aktiven Users automatisiert über Nacht (!) sowohl S/MIME-, wie auch OpenPGP-Schlüssel, sofern nicht bereits entsprechend gültiges (!) Schlüsselmaterial vorhanden ist.
Als aktive Users werden diejenigen bezeichnet, welche innerhalb der letzten 30 Tage eine E-Mail gesendet haben und nicht den State inactive haben,
|
|||||||||
name: |
authorityKeyIdentifier |
value: |
keyid,issuer:always |
||||||||
Fügt den durch diese Zertifizierungsstelle ausgestellten Zertifikaten die über den Wert (value:) angegebenen Informationen über die ausstellende Zertifizierungsstelle hinzu |
keyid: subjectKeyIdentifier (siehe nächste Option) issuer: IssuerName, Serialnumber always: Gibt eine Fehlermeldung aus, wenn das Kopieren der angegebenen Optionen fehlschlägt |
||||||||||
name: |
subjectKeyIdentifier |
value: |
hash |
||||||||
Gibt die Art des Fingerprints des ausgestellten Zertifikats an |
hash: bildet einen Hash-Wert gemäss RFC 3280 hex: Ein vordefinierter Hex-Wert wird dem Zertifikat angehängt (nicht empfohlen!) |
||||||||||
name: |
subjectAltName |
value: |
email:copy |
||||||||
Ermöglicht das Einbinden weiterer Alternativnamen in das ausgestellte Zertifikat. |
email: E-Mail Adresse copy: fügt automatisch eine Kopie der E-Mail Adresse aus dem «SubjectName» hinzu URI: uniform resource indicator DNS: DNS domain name RID: registered ID: OBJECT IDENTIFIER IP: IP-Adresse im v4 oder v6 Format dirName: sollte auf einen distinguished name (DN) zeigen. Mehrfacheingabe durch + möglich. |
||||||||||
name: |
basicConstraints |
value: |
CA:FALSE |
||||||||
Zeigt auf, ob es sich bei dem Ausgestellten Zertifikat um ein Zertifizierungsstellen-Zertifikat handelt. |
CA: mögliche Werte sind TRUE oder FALSE pathlen: optional bei CA:TRUE: gibt die maximale Anzahl von CAs an, welche |
||||||||||
name: |
nsComment |
value: |
OpenSSL Generated Certificate |
||||||||
Kommentareintrag für das Zertifikat |
Frei wählbarer Kommentar |
||||||||||
name: |
nsCertType |
value: |
client, email |
||||||||
Gibt den Zertifikatstyp an (Netscape) |
client, server, email, objsign, reserved, sslCA, emailCA, objCA |
||||||||||
name: |
keyUsage |
value: |
nonRepudiation, digitalSignature, keyEncipherment |
||||||||
Gibt den/die erlaubten Verwendungszweck(e) für das Zertifikat an. |
digitalSignature: Digitale Signatur nonRepudiation: Nachweisbarkeit keyEncipherment: Schlüssel Verschlüsselung dataEncipherment: Datenverschlüsselung keyAgreement: Schlüsselvereinbarung keyCertSign: Zertifikatssignatur cRLSign: Revocation List Signatur encipherOnly: nur Verschlüsselung decipherOnly: nur Entschlüsselung |
||||||||||
(Extension setting) (muss bei Bedarf manuell hinzugefügt werden) |
name: |
crlDistributionPoints |
value: |
URI:https://<IhreCA>/certs.crl |
|||||||
Fügt den Pfad zum Sperrlisten Verteilungspunkt der Zertifizierungsstelle an das Zertifikat an. |
URI: Pfad zur Revocation List. Mehrere URLs werden kommagetrennt eingegeben. |
||||||||||
name: |
value: |
||||||||||
An dieser Stelle können bei Bedarf weitere Einstellungen vorgenommen werden. Nach dem Speichern einer weiteren Extension kommt erscheint jeweils eine weitere Eingabezeile. |
|||||||||||
Mittels Download certificate kann das CA-Zertifikat (also ausschliesslich der öffentliche Schlüssel) im PEM-Format heruntergeladen werden.
Soll im Cluster dasselbe Zertifikat für alle Cluster Mitglieder verwendet werden, so kann dieses über die Schaltfläche Transfer to cluster members an die Mitglieder verteilt werden.
Dieser Transfer funktioniert nur unter Backends (siehe Cluster Cluster members).
