Simple Certificate Enrollment Protocol (SCEP) spezifische Sektionen in MPKI

Abschnitte auf dieser Seite:

•Default parameters

•Domain-specific parameters

•Certificate

•Settings

Default parameters

Dieser Sektion beinhaltet die Verbindungsdaten zur externen CA.

Parameter

Beschreibung

Service URL

URL unter welchem die Verbindung zur Zertifizierungsstelle hergestellt wird. Voreingestellt ist die URL mit dem Network Device Enrollment (NDES) Namen des SEPPmail Secure E-Mail Gateways für Microsoft Enterprise CA:

http://localhost:10000/certsrv/mscep/mscep.dll

Static subject part

(neu in 15.0.4.2)

Dieser Teil taucht im Zertifikat des jeweiligen Benutzers als Erweiterung des Feldes „Antragsteller“ auf und kann im Rahmen eines Distinguished Names frei - zum Beispiel /C=[Zweistelliger Ländercode]/OU=[Organisationsdetail]/O=[Organisation] - definiert werden, wobei die Angabe des Ländercodes zwingend ist.

empty

Achtung:

Bereits geringe Abweichungen führen dazu, dass keine Zertifikate ausgestellt werden können.

Problematisch können insbesondere Sonderzeichen sein, da diese unter Umständen beim Kopieren falsch interpretiert oder bei manueller Eingabe falsch angegeben werden (zum Beispiel unterschiedliche Hochkommata: ´, `, ')

Auch ist beim Kopieren der entsprechenden Eingaben darauf zu achten, dass nicht versehentlich ein Leerzeichen zu Beginn oder am Ende des Ausdrucks mit kopiert wird.

Additional settings

Use 'nombstr' in requests:

nombstr steht für „no multibyte strings“. Manche SCEP-Endstellen haben mit UTF8 Probleme. Um dies zu verhindern, kann man diese Option aktivieren, um beim Erstellen des CSR keine UTF8-Strings im Domain Name zu verwenden.

Domain-specific parameters (optional)

Werden auf dem SEPPmail Secure E-Mail Gateway mehrere E-Mail-Domänen (Managed domains) verwaltet, so kann je Domain ein Static Subject Part angegeben werden.

Parameter

Beschreibung

New domain entry

Domain

Angabe der E-Mail Domänen, für die der folgende Parameter gültig sein soll.

Nur Domänen, welche beim Stellen des Antrags bei der Zertifizierungsstelle auch benannt, beziehungsweise später separat validiert wurden, dürfen eingetragen werden.

empty

Achtung:

Die hier eingetragene(n) Domäne(n) muss unter Connectors MPKI managed domains ausgewählt sein, damit Zertifikate bezogen werden.

Static subject part

siehe Default parameters.

Certificate

In dieser Sektion werden die Parameter für das Authentifizieren an der externen Zertifizierungsstelle angegeben.

Parameter

Beschreibung

Challenge password

Kennwort für das Übermitteln einer Anforderung an die externe CA.

empty

Hinweis:

Das Passwort wird bei der Eingabe im Klartext dargestellt, damit dieses verifiziert werden kann. Beim Speichern wird das Eingabefeld dann geleert.

Encryption certificate

Über diese Funktion wird das Zertifikat zum Signieren der Anforderungen an die externe Zertifizierungsstelle (RA-Zertifikat) eingebunden. Dieses RA-Zertifikat wird von der externen Zertifizierungsstelle in der Regel explizit für das Anbinden des SEPPmail Secure E-Mail Gateways MPKI ausgestellt.

empty

Hinweis:

Wird NDES für ADCS verwendet, muss an dieser Stelle das “NDES CEP Encryption Certificate” verwendet werden..

CA certificate

An dieser Stelle wird das Wurzel-Zertifikat der extern anzubindenden Zertifizierungsstelle bekannt gemacht.

empty

Hinweis:

Wird NDES für ADCS verwendet, muss an dieser Stelle das “NDES Enrollment Agent Certificate” verwendet werden.

Settings

Einstellungen für das automatische Erneuern von Zertifikaten.

empty

Hinweis:

Die Laufzeit der Zertifikate der einzelnen Benutzers kann gegebenenfalls der Datei user-stats.csv, welche mit dem Daily Report (siehe auch Groups statisticsadmin) mitkommt, entnommen werden.

Dies ist insbesondere hilfreich, sofern kein automatisches Erneuern von Zertifikaten eingestellt wurde.

Parameter

Beschreibung

CheckBoxInactive Automatically renew expiring certificates if validity days left less than

Diese Option ist im Standard inaktiv und mit dem Wert 30 vorbelegt.

Initiiert das automatische Erneuern von Zertifikaten aktiver Benutzer (Users), sofern die eingestellte Restlaufzeit unterschritten ist. Voraussetzung hierfür ist, dass der entsprechende Benutzer innerhalb der eingestellten Überschneidungszeit eine E-Mail sendet. Damit wird vermieden, dass für „Leichen“ im Menü Users gegebenenfalls kostenpflichtig Zertifikate bezogen werden. Der so initiierte Prozess wird über Nacht (!) abgearbeitet.

empty

Hinweis:

Wird die MPKI erst nachträglich aktiviert, so werden bereits vorhandene, manuell importierte Zertifikate ebenfalls berücksichtigt. Ausschlaggebend für das Erneuern via MPKI ist das Zertifikat des Benutzers mit der längsten Laufzeit (Expires on).

Zertifikate der internen Zertifizierungsstelle sowie revozierte oder bereits abgelaufene Zertifikate werden nicht berücksichtigt.

empty

Hinweis:

Je größer die Überschneidung der Zertifikatsgültigkeit ist, desto höher ist die Chance, dass der Kommunikationspartner in den Besitz eines gültigen, öffentlichen Schlüssels gelangt, welchen er für das Senden verschlüsselter E-Mails benötigt.

CheckBoxInactive Automatically create certificates for active users without certificates

Diese Option ist im Standard inaktiv.

Bezieht für alle existenten, aktiven Users, welche nicht im Besitz eines gültigen (!) Zertifikates sind, automatisiert über Nacht (!) ein Zertifikat.

Als aktive Users werden diejenigen bezeichnet, welche innerhalb der letzten 30 Tage eine E-Mail gesendet haben und nicht den State inactive haben.

empty

Achtung:

Funktioniert nur bei gleichzeitig aktiver Option Automatically renew expiring certificates if validity days left less than

Die vorgenommenen Änderungen werden über die Schaltfläche Save gespeichert.

JavaScript aktivieren, um diese Seite anzuzeigen.

Simple Certificate Enrollment Protocol (SCEP) spezifische Sektionen in MPKI

Tastaturnavigation