JavaScript aktivieren, um diese Seite anzuzeigen.

Das SEPPmail Secure E-Mail Gateway beinhaltet eine vollständige Zertifizierungsstelle. Diese kann als sogenannte self-signed CA aber auch als Sub-CA konfiguriert werden.

Alternativ können trusted-CA Zertifikate automatisiert über die Managed Public Key Infrastructure (MPKI) Konnektoren bezogen werden.

 

Abschnitte auf dieser Seite:

Einleitung

Issued to

Issued by

Validity

Fingerprint

Certificate revocation list

Settings

Backup

 

 

anchor link Einleitung

 

empty

anchor link Hinweis:

Das CA Zertifikat dieses Menüpunktes ist maschinenbezogen und wird somit nicht im Cluster synchronisiert. Gegebenenfalls muss - je nach Bedarf - auf jedem Cluster Partner ein eigenes Zertifikat verwendet oder dasselbe Zertifikat importiert werden.

Die Settings hingegen werden synchronisiert.

 

empty

anchor link Hinweis:

Das Verwenden einer self-signed CA ist für das Signieren von E-Mails meist nicht zu empfehlen, da die Signaturen von den Empfängern in der Regel nicht automatisiert geprüft werden können.

Dennoch kann das Einrichten der internen Zertifizierungsstelle sinnvoll sein, da die angegebenen Attribute auch für das Erstellen der Domänenzertifikate (siehe Mail System Managed domain ADD/EDIT MANAGED DOMAINS S/MIME domain encryption) verwendet werden.

 

Ist bereits ein CA-Zertifikat eingebunden, so wird dieses wie unten folgt angezeigt.

Andernfalls kann über Request or create a certificate authority... ein Certificate Signing Request (CSR), für ein CA oder Sub-CA Zertifikat beziehungsweise ein self-signed CA Zertifikat erzeugt werden. Das Verwenden eines self-signed CA Zertifikats empfiehlt sich aus oben genannten Gründen jedoch in der Regel nur auf Test Systemen.

 

empty

anchor link Achtung:

Beim Signieren des CSR ist auf der signierenden CA darauf zu achten, dass die Attribute

ist SubCA

kann Serverzertifikate ausstellen

kann Clientzertifikate ausstellen

mit angegeben werden.

 

Über Import existing certificate authority... kann ein vorhandenes CA- oder Sub-CA Zertifikat importiert werden. Das daraufhin erscheinende Sub-Menü IMPORT AN EXISTING CERTIFICATE AUTHORITY ist vom Aufbau identisch zu dem aus SSL IMPORT AN EXISTING CERTIFICATE.

 

empty

anchor link Hinweis:

Soll die CA als Sub-CA arbeiten, so ist an dieser Stelle das Sub-CA Zertifikate inklusive der Zertifikatskette bis zur Root-CA einzufügen.

Ohne gültiger Zertifikatskette wird das Ausstellen von Zertifikaten scheitern.

 

Wird oben in der Statusleiste des Menüs die gelb hinterlegte Information Remember to import the signed certificate angezeigt, so erscheint lediglich die Schaltfläche Continue certificate signing request.... Damit wird der mittels Request or create a certificate... gestartete Zertifikatsbezug via CSR fortgeführt, beziehungsweise abgeschlossen.

 

Mit Sign certificate request... besteht die Möglichkeit, extern generierte CSRs mit der internen CA zu signieren. Bei Anklicken der Schaltfläche öffnet das Sub-Menü SIGN CERTIFICATE REQUEST, in welchem der eigentliche Signatur-Prozess durchgeführt werden kann.

 

 

anchor link Sektion Issued to

 

Diese Sektion zeigt Informationen über den Inhaber des CA-Zertifikates.

Abhängig vom Zertifikat müssen nicht alle hier aufgeführten Parameter vorhanden sein.

 

Parameter

Beschreibung

anchor link Common Name

Gibt den Namen der eigenen Zertifizierungsstelle an

anchor link E-mail address

In der Regel der wird die E-Mail Adresse des Verwalters der eigenen Zertifizierungsstelle oder dessen Abteilung eingetragen.

anchor link Org. unit (OU)

Organisationseinheit wie zum Beispiel ein Abteilungsname wie „Sicherheit“

anchor link Organization (O)

Gibt die Organisation an, für welche das Zertifikat ausgestellt wurde, zum Beispiel „Firma“

anchor link Locality (L)

Standort zum Beispiel eine Stadt wie „Neuenhof“

anchor link State (ST)

Bundesland, Kanton, Provinz oder Ähnliches, zum Beispiel „AR“ für „Appenzell Ausserrhoden“

anchor link Country (C)

Land, zum Beispiel „CH“ für „Schweiz“

anchor link Serial No.

Seriennummer des Zertifikats

 

Diese Parameter werden bei von der internen CA ausgestellten Zertifikate als „Issuer“ angezeigt.

 

 

anchor link Sektion Issued by

 

Diese Sektion zeigt Informationen über den Aussteller des CA-Zertifikates (Wurzel-Zertifikat).

Abhängig vom Aussteller müssen nicht alle hier aufgeführten Parameter vorhanden sein.

 

Parameter

Beschreibung

anchor link Name (CN)

Gibt den Namen der eigenen Zertifizierungsstelle an

anchor link E-mail address

In der Regel der wird die E-Mail Adresse des Verwalters der eigenen Zertifizierungsstelle oder dessen Abteilung eingetragen.

anchor link Org. unit (OU)

Organisationseinheit wie zum Beispiel ein Abteilungsname wie „Sicherheit“

anchor link Organization (O)

Gibt die Organisation an, für welche das Zertifikat ausgestellt wurde, zum Beispiel „Firma“

anchor link Locality (L)

Standort zum Beispiel eine Stadt wie „Neuenhof“

anchor link State (ST)

Bundesland, Kanton, Provinz oder Ähnliches, zum Beispiel „AR“ für „Appenzell Ausserrhoden“

anchor link Country (C)

Land, zum Beispiel „CH“ für „Schweiz“

 

 

anchor link Sektion Validity

 

Gibt die Gültigkeit des eigenen CA-Zertifikates an.

 

Parameter

Beschreibung

anchor link Issued on

Ausstelldatum des Zertifikates

anchor link Expires on

Ablaufdatum des Zertifikates

 

 

anchor link Sektion Fingerprint

 

Der fingerprint ist die Prüfsumme (eben auch hash oder fingerprint) und dient dem Überprüfen eines Zertifikats. An dieser Stelle wird der Hash-Algorithmus (zum Beispiel MD5 SHA1 oder SHA256), mit welchem die Prüfsumme gebildet wurde, sowie der berechnete Wert angezeigt. Sind mehrere fingerprints unterschiedlicher Algorithmen vorhanden, so wird jeder in einer separaten Zeile ausgegeben.

 

Parameter

Beschreibung

anchor link Hash-Algorithmus des Zertifikates

Beispiel eines SHA1 Fingerprints:

48:2D:99:B1:64:C1:14:9C:B3:F2:C0:8D:FA:7F:40:9F:22:F5:11:F5

 

 

anchor link Sektion Certificate Revocation List

 

kurz CRL. Wurde die interne Zertifizierungsstelle konfiguriert, so hält diese eine Revokationsliste für die von ihr ausgestellten Zertifikate vor. Sollte ein Privater Schlüssel kompromittiert worden sein, so kann dieser in der Benutzerkonfiguration (siehe Users USER 'USER@DOMAIN.TLD' S/MIME) als ungültig erklärt (revoziert) werden und taucht dann in der Revokationsliste auf. Diese kann über die Schaltfläche Create and download CRL heruntergeladen und somit abgefragt werden.

 

 

anchor link Sektion Settings

 

In dieser Sektion werden die Einstellungen für die self-signed, beziehungsweise Sub-CA eingegeben.

Die genannten extension settings sind die Standard Einstellung beim Einrichten einer self-signed CA.

Soll eine Sub-CA Eingerichtet werden, gibt in der Regel der Betreiber der Haupt-CA entsprechende Werte vor.

 

Parameter

Beschreibung

anchor link Static subject part

Als static subject part tauchen im Standard die beim Erstellen der Zertifizierungsstelle eingegebenen Parameter für Land (hier ist die zweistellige ISO Länderkennung zu verwenden), Organisationseinheit und Organisation auf, also zum Beispiel

/C=CH/OU=Sicherheit/O=Firma

anchor link CA validity in days

Im Standard ist der Wert 3650 vorbelegt.

Gibt die Gültigkeit der ausgestellten Zertifikate in Tagen an.

 

empty

anchor link Hinweis:

Diese Einstellung gilt auch für die von der Appliance generierten OpenPGP Schlüsselpaare.

Der Maximalwert darf 31342 Tage nicht überschreiten.

 

anchor link CRL validity in days

Im Standard ist der Wert 30 vorbelegt.

Gibt die Gültigkeit der Certificate Revocation List in Tagen an.

anchor link Automatic renewal

 

empty

anchor link Hinweis:

Die Auswahl, für welche Managed domains das automatische Erneuern der Zertifikate aktiv sein soll, wird aus der Einstellung MPKI Connector MPKI managed domains übernommen.

 

anchor link CheckBoxInactive Automatically renew expiring certificates if validity days left less than

Diese Option ist im Standard inaktiv und mit dem Wert 90 vorbelegt.

Initiiert das automatische Erneuern von Zertifikaten aktiver Benutzer (Users), sofern die eingestellte Restlaufzeit unterschritten ist. Voraussetzung hierfür ist, dass der entsprechende Benutzer innerhalb der eingestellten Überschneidungszeit eine E-Mail sendet. Damit wir vermieden, dass für „Leichen“ im Menü Users Zertifikate bezogen werden.Der so initiierte Prozess wird über Nacht (!) abgearbeitet.

Revozierte oder bereits abgelaufene Zertifikate werden nicht berücksichtigt.

 

empty

anchor link Hinweis:

Je größer die Überschneidung der Zertifikatsgültigkeit ist, desto höher ist die Chance, dass der Kommunikationspartner in den Besitz eines gültigen, öffentlichen Schlüssels gelangt, welchen er für das Senden verschlüsselter E-Mails benötigt.

 

empty

anchor link Hinweis:

Diese Einstellung gilt auch für die von der Appliance generierten OpenPGP Schlüsselpaare.

 

empty

anchor link Hinweis:

Die Laufzeit der Zertifikate der einzelnen Benutzer kann gegebenenfalls der Datei user-stats.csv, welche mit dem Daily Report (siehe auch Groups statisticsadmin) mitkommt, entnommen werden.

Dies ist insbesondere hilfreich, sofern kein automatisches Erneuern von Zertifikaten eingestellt wurde.

 

empty

anchor link Hinweis:

Domänen-Zertifikate (explizit nicht IME !) und -PGP-Schlüssel die auslaufen, werden nach den gleichen Kriterien wie Benutzer Schlüssel erneuert.

 

anchor link CheckBoxInactive Automatically create certificates for active users without certificates

Diese Option ist im Standard inaktiv.

Bezieht für alle existenten, aktiven Users automatisiert über Nacht (!) sowohl S/MIME-, wie auch OpenPGP-Schlüssel, sofern nicht bereits entsprechend gültiges (!) Schlüsselmaterial vorhanden ist.

 

Als aktive Users werden diejenigen bezeichnet, welche innerhalb der letzten 30 Tage eine E-Mail gesendet haben und nicht den State inactive haben,

 

empty

anchor link Achtung:

Funktioniert nur bei gleichzeitig aktiver Option Automatically renew expiring certificates if validity days left less than

anchor link Extension setting

name:

authorityKeyIdentifier

value:

keyid,issuer:always

Fügt den durch diese Zertifizierungsstelle ausgestellten Zertifikaten die über den Wert (value:) angegebenen Informationen über die ausstellende Zertifizierungsstelle hinzu

keyid: subjectKeyIdentifier (siehe nächste Option)

issuer: IssuerName, Serialnumber

always: Gibt eine Fehlermeldung aus, wenn das Kopieren der angegebenen Optionen fehlschlägt

name:

subjectKeyIdentifier

value:

hash

Gibt die Art des Fingerprints des ausgestellten Zertifikats an

hash: bildet einen Hash-Wert gemäß RFC 3280

hex: Ein vordefinierter Hex-Wert wird dem Zertifikat angehängt (nicht empfohlen!)

name:

subjectAltName

value:

email:copy

Ermöglicht das Einbinden weiterer Alternativnamen in das ausgestellte Zertifikat.

email: E-Mail Adresse

copy: fügt automatisch eine Kopie der E-Mail Adresse aus dem „SubjectName“ hinzu

URI: uniform resource indicator

DNS: DNS domain name

RID: registered ID: OBJECT IDENTIFIER

IP: IP-Adresse im v4 oder v6 Format

dirName: sollte auf einen distinguished name (DN) zeigen. Mehrfacheingabe durch + möglich.

name:

basicConstraints

value:

CA:FALSE

Zeigt auf, ob es sich bei dem Ausgestellten Zertifikat um ein Zertifizierungsstellen-Zertifikat handelt.

CA: mögliche Werte sind TRUE oder FALSE

pathlen: optional bei CA:TRUE: gibt die maximale Anzahl von CAs an, welche

name:

nsComment

value:

OpenSSL Generated Certificate

Kommentareintrag für das Zertifikat

Frei wählbarer Kommentar

name:

nsCertType

value:

client, email

Gibt den Zertifikatstyp an (Netscape)

client, server, email, objsign, reserved, sslCA, emailCA, objCA

name:

keyUsage

value:

nonRepudiation, digitalSignature, keyEncipherment

Gibt den/die erlaubten Verwendungszweck(e) für das Zertifikat an.

digitalSignature: Digitale Signatur

nonRepudiation: Nachweisbarkeit

keyEncipherment: Schlüssel Verschlüsselung

dataEncipherment: Datenverschlüsselung

keyAgreement: Schlüsselvereinbarung

keyCertSign: Zertifikatssignatur

cRLSign: Revocation List Signatur

encipherOnly: nur Verschlüsselung

decipherOnly: nur Entschlüsselung

(Extension setting)

(muss bei Bedarf manuell hinzugefügt werden)

name:

crlDistributionPoints

value:

URI:https://<IhreCA>/certs.crl

Fügt den Pfad zum Sperrlisten Verteilungspunkt der Zertifizierungsstelle an das Zertifikat an.

URI: Pfad zur Revocation List. Mehrere URLs werden kommagetrennt eingegeben.

anchor link New extension

name:


value:


An dieser Stelle können bei Bedarf weitere Einstellungen vorgenommen werden.

Nach dem Speichern einer weiteren Extension kommt erscheint jeweils eine weitere Eingabezeile.

 

 

anchor link Sektion Backup

 

Mittels Download certificate kann das CA-Zertifikat (also ausschließlich der öffentliche Schlüssel) im PEM-Format heruntergeladen werden.

Soll im Cluster dasselbe Zertifikat für alle Cluster Mitglieder verwendet werden, so kann dieses über die Schaltfläche Transfer to cluster members an die Mitglieder verteilt werden.

Dieser Transfer funktioniert nur unter Backends (siehe Cluster Cluster members).

 

  

Tastaturnavigation

F7 für Tastaturnavigation
ALT halten und Buchstaben drücken

Diese Info: ALT+q
Seitentitel: ALT+t
Seiteninhalt: ALT+b
Inhalte: ALT+c
Suche: ALT+s
Ebene höher: ESC