SSL-certificate voor mail

Verisign geeft voor particulieren volgens mij gratis digital signatures. Moet je even op hun website gaan kijken. Voor de rest het aanvragen van certificates kan per prijs behoorlijk verschillen van 18euro per certificate tot een paar honderd.. ligt er aan wat voor certificate je aanvraagt.

kijk hier maar even
http://www.verisign.com/products/email/index.html

Dan zou ik zeggen ga zelf eens fijn zoeken. Die certificats zijn ook op Verisign te vinden en dit is geen helpdesk......

heeft niets met gefrustreerd zijn te maken maar meer dat ik uit je reply opmaak dat wij mogen zoeken naar jou antwoorden.... misschien handig om te melden welke zoekacties jezelf al gedaan hebt....

welke zoekacties

Geen natuurlijk. Anders had 'ie wel gelezen dat een cert voor https exact hetzelfde is als een cert voor s-pop, imaps, en andere ssl-verbindingen.

[ Voor 4% gewijzigd door burne op 09-04-2003 17:32 ]

dat ligt er aan wat voor CA server je opzet. Als je een microsoft CA opzet kun je certificates voor email of webpages aanvragen. Dit zijn wel degelijk verschillende certificates. Maar TS mag zelf ook wel een beetje moeitte doen... Het heet niet voor niets PN&S hier.

mutsje schreef op 10 april 2003 @ 09:01:
dat ligt er aan wat voor CA server je opzet. Als je een microsoft CA opzet kun je certificates voor email of webpages aanvragen. Dit zijn wel degelijk verschillende certificates. Maar TS mag zelf ook wel een beetje moeitte doen... Het heet niet voor niets PN&S hier.

Hoebedoel je?

Ik gebruik zelf op zowel de OWA als op de POP3 het zelfde SSL certificaat en dat werkt prima (behalve dan de melding dat het geen trusted certificaat is).

http://certificaat.kpn.com -> Server certificaten

HermeS schreef op 10 april 2003 @ 09:09:
[...]


Hoebedoel je?

Ik gebruik zelf op zowel de OWA als op de POP3 het zelfde SSL certificaat en dat werkt prima (behalve dan de melding dat het geen trusted certificaat is).

Ik ben hier momenteel bezig met Enterprise CA opzetten. Je kunt via de http://servername/certsrv 2 certificates ophalen 1 mail certificate 2 web certificate. Ik denk dat de kleine instellingen in beide certificates wel degelijk verschillen vertonen. Zoals dat je bij de mail certificate duidelijk een e-mail adres in moet vullen en dit hoeft bij de Webpage certificate niet. OWA kun je ook via HTTPS opzetten maar dit wil nog niet zeggen dat jou MAIL digital signed of encrypted is.

mutsje schreef op 10 April 2003 @ 13:23:
[...]


Ik ben hier momenteel bezig met Enterprise CA opzetten. Je kunt via de http://servername/certsrv 2 certificates ophalen 1 mail certificate 2 web certificate. Ik denk dat de kleine instellingen in beide certificates wel degelijk verschillen vertonen. Zoals dat je bij de mail certificate duidelijk een e-mail adres in moet vullen en dit hoeft bij de Webpage certificate niet. OWA kun je ook via HTTPS opzetten maar dit wil nog niet zeggen dat jou MAIL digital signed of encrypted is.

Ok
Ik dacht dat we het over de verbinding zelf hadden vandaar, dus waar de mail door getunneld word. En niet zozeer dat de mail gecodeerd word voor transport.

Want dan had je opzich aan 1 certificaat voldoende lijkt mij. Zolang het adres van de webserver (ssl) het zelfde is als de pop3 (ssl) server anders krijg je een melding dat het adres op het certificaat niet overeenkomt en dan zou het wel handig zijn om er eentje tenemen.

Maar je hebt iid gelijkt als je je mail wilt ondertekenen.

Een digitaal certificaat is een digitaal certificaat. Het enige verschil is de 'intended purpose'.
Wanneer hier bijvoorbeeld niet instaat dat het gebruikt kan worden voor secure e-mail, dan kan je het encrypten van mail dus vergeten.
In theory is het mogelijk om een certificaat voor alle doeleinden te kunnen laten gelden. Of dit gewenst is is een tweede.
Binnen de Certificate Services van Windows 2000, is het mogelijk om bij de certificaat aanvraag in advanced modus te doen. Hierdoor krijg je meer grip op mogelijkheden en eigenschappen van een certificaat. Voor de beginner is dit echter overkill

Een CA inrichten is niet moeilijk.... een CA onderhouden (in een productie omgeving) is een compleet ander verhaal.

PKI is no novelty..... It's a state of mind

[ Voor 5% gewijzigd door BlaTieBla op 10-04-2003 15:24 ]

paar uur gezocht.....grrmmbbllll ik 5 secondenhttp://certificaat.kpn.com/repository/PrivateKey_FAQ/
we kunnen zien dat je moeitte doet.

Een SSL certificaat kan je gebruiken voor:
- SSL t.b.v. bijvoorbeeld transacties over het internet
- webmail omgevingen
- Secure FTP (S-FTP) n.b. hier wel eerst de handleiding van het FTP server pakket
- Secure SMTP/POP (niet veel gebruikt en is iets anders dan S/MIME!!!)
- ....

Als je een certificaat zoekt voor je eigen prive server, dan zou ik zeggen; creeer een selfsigned server certificaat m.b.v. bijvoorbeeld OpenSSL. Waar je dan alleen tegen aan loopt is het feit dat het certificaat NIET vertrouwd wordt (je krjigt daar een melding van). Dit certificaat is qua encrypty zeker NIET slechter dan een certificaat van KPN/Verisign/Thawte.

Nadeel: warning bij het openen van een site / webmail omgeving (welke te verhelpen is door het importeren van de root CA in de browser)
Voordeel: gratis

Een secure server certificaat (bij bijv. KPN) kost je €380,00 per jaar [http://certificaat.kpn.com/secure/server/help/serverprijzen.htm]

[ Voor 8% gewijzigd door BlaTieBla op 10-04-2003 21:35 ]

blaaat als je alle links die je gevonden had en de antwoorden die hier gegeven waren gelezen had had je kunnen opmerken dat voor e-mail / webmail gewoon certificaten gebruikt worden. oftewel voor owa wordt https gebruikt en om je mail te securen worden digitale certificates gebruikt omdat als je mail naar een 3th party send je het niet kunt versturen omdat de andere kant je niet als trusten kent... end of story...

Mutsje, op een gegeven ogenblik is het imo verstandiger om 't aan de modjes over te laten...

Algemeen: een goede link voor SSL zit in het LDP: SSL-Certificates-HOWTO..

TS: je zou ook eens een mailtje kunnen sturen van _een_ instantie die keys verleent (of een telefoontje). Hoogstwaarsch. kunnen die je in 1 sec vertellen wat je wilt weten.

had dit topic al bij de mods aangemeld.

$39 voor een SSL certificaat bij Rackshack.net is duidelijk geen geld.

[ Voor 12% gewijzigd door BlaTieBla op 11-04-2003 13:14 ]

mutsje & Klaus_1250: zitten bekvechten in dit topic haalt niets uit dat is slecht voor je hart & voor de sfeer. Gelieve dan niet te reageren

... en nu allemaal weer liev ! _{© Koffie}

Predator. Ik zit niet te bekvechten. Er staan nu al zoveel antwoorden in deze thread welke certificaten en dergelijke TS kan gebruiken om de boel secure te maken. TS zou gewoon naar Verisign of iets dergelijks moeten bellen en daar een certificate moeten aanvragen.

<<Ik heb dus al een self-signed certificate, maar dan klaagt OE vervolgens bij elke keer opstarten dat het certificaat niet vertrouwd is.>>

En je hebt geen idee hoe je dat certificaat toe kunt voegen aan de lijst van vertrouwde certificaten?
Tjonge...
Volgens mij ben je al een eind op weg naar het stellen van de juiste vraag. Het zoekn van het antwoord komt dan al snel...
http://www.microsoft.com/...wto/digitalcert/using.asp

het CA path downloaden en toevoegen aan de lijst van trusted CA's in je IE....

Ik heb overgens al antwoord op mijn vraag (niet via hier). Kan een moderator dit topic asjeblieft sluiten?

ZOu je dat antwoord nog even willen posten?

Wat handig zou zijn is om zelf links te posten en stappen die je gevolgt hebt zoals de meesten hier doen. Wat je zelf al geprobeert hebt en dergelijke. Waar je zelf zoekt etc.

Misschien is dit wat?? FreeSSL echt FREE?

[ Voor 22% gewijzigd door eth0 op 14-04-2003 18:53 ]

Het voordeel van een gesigned certificat van een grote organisatie als Verisign is dat het al in jou "trusted" list voorkomt. Nadeel die certificaten zijn erg duur als je er meer dingen mee wilt doen. Waar ik nu tegen aan loop met het bouwen van Certificats is dat ik het niet kan versturen naar andere mail adressen omdat die het certificate niet kennen.

Zodra ik het helemaal opgezet heb ga ik er zeker een Howto van bouwen voor op WOS. Beter teveel documentatie dan te weinig.

Sorry hoor, maar zet bovenstaande voortaan in het begin van de topic.. 5mins en het volgende :

http://lubbockinfo.com/help/thawte/faq_thawte.html#pemcert
http://www.devhood.com/tu...ails.aspx?tutorial_id=209

Klaus,

Er is veel over te vinden echter beland je in een oerwoud van informatie die niet op jou of iemand anders zijn situatie slaat en is het zoeken naar een spelt in een hooiberg. Een Certificate Authority in windows200X kan ook Mail certificates uit delen en Web certificates. Vraag me niet wat het verschil is ben er nog maar 4 dagen mee bezig en alles draait in een testlab.

oplossing Stand Alone CA installeren van WY2k ,, kun je je eigen certificaten en digitale handtekeningen uitgeven,,, zo kan iemand er altijd vanuitgaan dat het certificaat door jou is uitgegeven.

QuikSoft schreef op 15 April 2003 @ 12:28:
oplossing Stand Alone CA installeren van WY2k ,, kun je je eigen certificaten en digitale handtekeningen uitgeven,,, zo kan iemand er altijd vanuitgaan dat het certificaat door jou is uitgegeven.

Probleem is dat jou Certificate Server niet bekend is bij andere providers en je kunt dan geen encrypted mail versturen... helaas pindakaas

did it , done it , still testing...

mutsje schreef op 15 April 2003 @ 14:19:
[...]


Probleem is dat jou Certificate Server niet bekend is bij andere providers en je kunt dan geen encrypted mail versturen... helaas pindakaas

did it , done it , still testing...

Voor encrypted mail versturen, heb je het certificaat nodig van de andere kant. Heeft dus NIETS met je eigen certificaat / CA te maken.

Zolang het certificaat maar x509 compliant is, zal er hoogstens gezeurt worden over de betrouwbaarheid van het certificaat (binnen windows een warning).

Indien andere mensen je certificaat hebben (van je eigen CA en dat bedoel je waarschijnlijk), moeten ze idd het certificaat van de root toevoegen als trusted authority (Windows feature). De distributie hiervan is niet echt moeilijk. Gewoon dat .cer bestand op een webpagina gooien (of als attachment in de mail meesturen) en daar naar verwijzen. Dubbelklik en klaar.

PKI technisch gezien, heb je voor encrypte mail maar 1 certificaat nodig (nml dat van de ontvangende partij) echter heeft Microsoft het zo gemaakt, dat de versturende kant ook een certificaat nodig heeft om aan encrypty te kunnen doen. De reden hiervoor is, dat Microsoft de verstuurde encrypte mail ook encrypt met je eigen certificaat en je het op die manier later zelf ook nog kan openen. Iets wat PKI technisch anders niet zou moeten kunnen.

ah weer wat geleerd. Het is voor mij ook allemaal nieuw. misschien tijd om al die whitepapers maar eens door te gaan lezen....

mutsje schreef op 16 April 2003 @ 11:41:
ah weer wat geleerd. Het is voor mij ook allemaal nieuw. misschien tijd om al die whitepapers maar eens door te gaan lezen....

Als je een GOEDE indruk wil krijgen wat PKI kan en wat het inhoud, lees dan GEEN whitepapers van fabrikanten. Deze zijn nml. allemaal gekleurd.
Wanneer je met een Microsoft CA aan de gang gaat, werkt alles in een 100% microsoft omgeving (liefst met integrated AD) fantastisch. Op dat moment ga je je ook afvragen waarom niet de hele wereld aan de PKI is.
Vervolgens moet je eens gaan kijken hoe de interoperatibiliteit is met bijvoorbeeld een checkpoint firewall, netscape directory, netscape mail omgeving. Wanneer je je daar in gaat verdiepen (been there, done that), blijkt dat iedereen zich aan de eerste x509 standaarden houdt en vervolgens er -tig extensies (fabrikant specifiek) op na houdt. Om deze 'afwijkingen' vervolgens te mappen in een andere omgeving is vervolgens een uitdaging (understatement).
Want laten we eerlijk zijn. Het begint lekker intern in het bedrijf / prive knutselen en vervolgens moeten partners / klanten etc. ook toegang gaan krijgen tot het netwerk/informatie. En die hebben een andere infrastructuur (in de breedste zin van het woord).....

'succes ermee' klinkt dan al snel

Dat wil echter niet zeggen dat het niet gaat werken. Alleen zal snel blijken dat een aantal zaken dan nu de kop op steken in een vroeg stadium bij de interne implemetatie over het hoofd zijn gezien of slecht over zijn nagedacht.

[ Voor 9% gewijzigd door BlaTieBla op 16-04-2003 13:55 ]

We kijken hier eerst inderdaad naar intern verkeer mail en data. Er is nog geen sprake van verkeer naar buiten omdat we in een erg gesloten omgeving zitten qua dataverkeer wat van buitenaf bereikbaar zou mogen zijn. Maar tegen die tijd post ik hier wel een vraag...