Ausgangssituation:
Domänenzertifikate sollen über die Option Allow download of public domain keys/domain certificates in der GINA-Oberfläche zum Download für Kommunikationspartner bereitgestellt werden.
Frage:
Weshalb werden die vorhandenen Zertifikate seit Version 13.0.13 nicht mehr zum Download angeboten?
Antwort:
Über die Option Create S/MIME domain keys for managed domain encryption and send public key to vendor pool (in Mail System oder Add/edit managed domain) wird selbst dann ein Domänenzertifikat ausgestellt, wenn die SEPPmail Secure E-Mail Gateway interne CA nicht konfiguriert wurde. Aussteller dieser Zertifikate ist dann eine „SEPPmail default CA“. Solche Zertifikate dienen ausschließlich dem SEPPmail Managed Domain Service.
Wird versucht ein solches Zertifikat für die Domänenverschlüsselung zu einem Dritthersteller Produkt zu verwenden, kann dies zu Problemen führen.
Aus diesem Grund sollte für den Einsatz der Domänenverschlüsselung mit Dritthersteller-Produkten generell vor dem Erstellen eines (neuen) Domänenzertifikates die SEPPmail Secure E-Mail Gateway interne CA konfiguriert werden (siehe gegebenenfalls auch diesen Hinweis zur Domänenverschlüsselung). Zertifikate dieser CA werden dann auch via GINA zum Download angeboten.
Unterzieht der Dritthersteller das Domänenzertifikat einer Prüfung der Zertifikatskette, so wird auch das Root-Zertifikat der interne CA benötigt. Dieses kann ebenfalls via GINA zum Download angeboten werden (siehe gegebenenfalls Publish local CA certificate on the search page to allow recipients to perform S/MIME signature verification).
Hinweis:
Tritt dieses Verhalten in Bestandssystemen mit sehr vielen Managed Domains auf, so ist gegebenenfalls das Ausstellen neuer Domänenzertifikate per REST sinnvoll.
Beispiel:
https://api.seppmail.com/#/crypto/crypto_domain_name_add
{
"technology": "smime",
"action": "generate",
"generateData": {
"type": "local",
"isIME": false,
"hin": false
}
}
Response body:
{
"message": "add for key material for domain 'seppmail365.ch' successful"
}
