NoSpamProxy Forum
S/MIME-"Domänenzertifikat" - wie praktisch am besten? - Druckversion

+- NoSpamProxy Forum (https://forum.nospamproxy.com)
+-- Forum: NoSpamProxy Server (https://forum.nospamproxy.com/forumdisplay.php?fid=1)
+--- Forum: Encryption (https://forum.nospamproxy.com/forumdisplay.php?fid=4)
+--- Thema: S/MIME-"Domänenzertifikat" - wie praktisch am besten? (/showthread.php?tid=75)



S/MIME-"Domänenzertifikat" - wie praktisch am besten? - mabu - 22.01.2020

Hallo.

Ende 2019 war dies mein "Lieblingsthema" - S/MIME-Domänenzertifikate, die es ja eigentlich gar nicht gibt, weil es ja eigentlich nur welche für User gibt. Aber Gatewaylösungen wie NSP können normale User-S/MIME-Zertifikate als Domänenzertifikat nutzen (für Fallback, für generelle Nutzung, was auch immer). Und einige Externe "bestehen" auch darauf, dass die Mailkommunikation zwischen deren Domäne und uns nur über EIN Zertifikat abgewickelt wird - und nicht userbasiert. Waren nette Diskussionen Tongue

Aktueller Stand: wir nutzen SwissSign-Zertifikate (ID Silver) über deren Managed PKI und haben auch den automatischen Abruf dieser Zertifikate im NSP konfiguriert. Zertifikate laufen hier dann jeweils ein Jahr und werden (hoffentlich) rechtzeitig vor Ablauf automatisch erneuert - für die Adressen, dessen AD-User in einer bestimmten AD-Gruppe sind.

Nun zum gewünschten "Domänenzertifikat": es soll nicht nur ein Jahr laufen (bei SwissSign sind wohl max 3 Jahre möglich). Somit scheidet die automatische Erstellung über den SwissSign-Anbieter aus. Laut NSP-Support würde die automatische Aktualisierung auch nicht mehr funktionieren, wenn ein Zertifikat zum Domänenzert hochgestuft wird.

Also bleibt mir doch nur die Option, das gewünschte S/MIME-Zertifikat im Portal der Managed PKI manuell mit Laufzeit 3 jahre zu erstellen. Oder habe ich da einen Denkfehler?

Gibt es ansonsten noch etwas, auf das ich dabei achten sollte? ich würde auch wieder ein "ID Silver" ausstellen lassen.

Letztlich muss ich dann nur rechtzeitig vor Ablauf das Zertifikat mit neuer Laufzeit erstellen (und mir dies wohl auf Termin legen).

Ich möchte das nun endlich mal abschließend hinbekommen mit diesem Domänenzertifikat. Hat mich echt einiges an Nerven gekostet und irgendwie seit Wochen noch kein abschließendes Ergebnis.

Bin auf Eure Meinungen gespannt. Letztlich kann ich damit dann doch einige Anfragen imBereich Mailverschlüsselung mit erledigen. Wäre doch richtig klasse.

Danke vorab.