KeyTalk häufig gestellte Fragen (FAQ)
Kann KeyTalk Zertifikate von mehreren Zertifizierungsstellen (CAs) verarbeiten?
Ja, KeyTalk kann mehrere CAs verarbeiten. Sowohl private CAs, wie Microsoft Active Directory Certificate Server, als auch öffentliche CAs, wie GMO GlobalSign, Digicert oder DigiCert QuoVadis und später in diesem Jahr (Q4) auch Unterstützung für Sectigo.
Ich möchte eine Zertifizierungsstelle verwenden, aber KeyTalk scheint dies nicht zu unterstützen! Ist das überhaupt möglich?
Kann KeyTalk asymmetrische öffentliche/private Kryptoschlüssel verwalten?
Unterstützt KeyTalk kurzlebige X.509-Zertifikate?
Unsere Definition von kurzlebigen X.509-Zertifikaten: Zertifikate, die nicht länger gültig sind als die Zeit, die es dauert, bis eine aktuelle Zertifikatsperrliste (Certificate Revocation List, CRL) ab dem Zeitpunkt ihrer Ausstellung aktualisiert und verteilt wird. Arbeiten Sie normalerweise mit CRLs, die einmal täglich aktualisiert werden? Dann sind kurzlebige Zertifikate 24 Stunden kürzer gültig. Online Certificate Status Protocol (OCSP)-Radiatoren sind theoretisch viel schneller zu aktualisieren als CRLs, aber in der Praxis dauert es normalerweise länger als die durchschnittliche Zeit zum Aktualisieren einer CRL, um die Notwendigkeit der Aufnahme eines Zertifikats in ein OCSP festzustellen, bis hin zur tatsächlichen Aufnahme eines Zertifikats in ein OCSP. Dies bedeutet, dass OCSPs bei kurzlebigen X.509-Zertifikaten normalerweise nicht praktischer sind als eine CRL.
KeyTalk kann einem auszustellenden Zertifikat eine beliebige Lebensdauer zuweisen, sofern die Zielzertifizierungsstelle dies unterstützt. Die kürzeste Gültigkeit, die KeyTalk einem Zertifikat zuweisen kann, beträgt 1 Sekunde.
KeyTalk kann einem auszustellenden Zertifikat eine beliebige Lebensdauer zuweisen, sofern die Zielzertifizierungsstelle dies unterstützt. Die kürzeste Gültigkeit, die KeyTalk einem Zertifikat zuweisen kann, beträgt 1 Sekunde.
Beweisen Zertifikate, die über das KeyTalk Zertifikatverwaltungssystem ausgestellt wurden, eine digitale Identität von einer Person oder Maschine?
Eine gültige digitale Identität wird anhand eines X.509 Zertifikats, durch eine Anzahl an Faktoren nachgewiesen:
- Die Gültigkeit: Befindet sich das Zertifikat auf einem Widerrufszeiger wie CRL oder OCSP? Ist das Zertifikat hinsichtlich des maximalen Datums/Uhrzeit noch nicht abgelaufen?
- Wird die CA-Kette anhand des Computers, der die digitale Identiät validieren möchte, als vertrauenswürdig eingestuft? Dies setzt voraus, dass das ausstellende CA Root vertrauenswürdig ist, aber auch, dass die dazwischen liegenden Zwischenzertifizierungsstellen validiert werden können, oder auf dem Computer bekannt und vertrauenswürdig sind, der die digitale Identiät validieren möchte.
- Steht der Name der digitalen Identiät nicht nur im Common Name (CN) des Zertifikats, sondern auch im Subject Alternative Name (SAN) des Zertifikates?
- Kann die zu validierende Identiät für Client-Authentifizierung, Serverauthentifizierung, oder vielleicht beides verwendet werden?
- Entspricht der Name der zu überprüfenden digitalen Identität einem Domain Name Server (DNS) Eintrag? Oder stimmt sie mit der E-Mail-Adresse überein, auf die zugegriffen wird?
- Verfügt die zu validierende digitale Identität nicht nur über das öffentliche X.509 Zertifikat, sondern vor allem auch über den zugehörigen privaten Schlüssel ?
Das KeyTalk-System befasst sich mit all diesen Faktoren der digitalen Identität für die Ausstellung und Verwaltung von Zertifikaten. Damit machen wir es möglich, die Identität von einer Person, eines Mobilgeräts, eines Computers, eines Servers, eines Netzwerkgerätes und/oder eines Internet of Things (IoT) Geräts nachzuweisen.
Muss mein Server neu gestartet werden, wenn ein von KeyTalk ausgestelltes Zertifikat (und privater Schlüssel) vom KeyTalk Client/ von der KeyTalk App installiert wird?
Nein, gängige Serveranwendungen wie IIS, Apache, TomCat, NGINX erfordern keinen Neustart des Servers, wenn das SSL-Zertifikat durch den KeyTalk Client/ die KeyTalk App ersetzt wird. Kurz gesagt, die Server werden mit diesen Anwendungen nicht ausfallen und somit den Dienst nicht stören.
Muss die KeyTalk- Plattform immer den privaten Schlüssel erstellen und verwalten?
Nein, das ist sicher nicht notwendig. KeyTalk kann auch Zertifikate verarbeiten, deren privater Schlüssel auf dem Zielsystem oder auf einem HSM generiert wird.
Kann die KeyTalk Lösung mit einem verfügbaren Trusted Platform Module (TPM) zusammenarbeiten, um einen privaten Schlüssel zu erzeugen/ zu speichern?
Ja, die KeyTalk Lösung kann mit TPM’s umgehen, da sie als Virtual Smart Card (VSC) verwendet werden können. Die meisten TPM’s sehen wir in Windowssystemen, wo VSC’s über Microsoft oder andere Softwareanbieter aktiviert werden.
Das KeyTalk System sendet in diesem Fall die Certificate Signing Request (CSR) Metadaten an den KeyTalk Client/ die KeyTalk App, der diese CSR Daten an das TPM/VSC weiterleitet.
Die CSR wird dann generiert und über den KeyTalk Client/ die KeyTalk App an den KeyTalk Server weitergeleitet, wobei der private Schlüssel sicher auf dem TPM zurückbleibt.
Der KeyTalk Server versendet das signierte X.509 Zertifikat zurück an den KeyTalk Client/ die KeyTalk App, die das Zertifikat an den VSC ausstellt.
Kann KeyTalk der (qualifizierte) (vertrauenswürdige) Zertifikatsdienstanbieter ((Q)TCSP) unabhängig arbeiten?
Ja, die KeyTalk Plattform kann Zertifikate und dazugehörige private Schlüssel von einem verknüpften (Q)TCSP ausstellen. Wenn Sie zu einer anderen (Q)TCSP wechseln, verknüpfen Sie diesen neuen (Q)TCSP mit der KeyTalk Plattform und alle neuen Zertifikate werden direkt über diesen neuen (Q)TCSP ausgestellt.
Sie Können sogar alle unter dem alten (Q)TCSP ausgestellten Zertifikate auf einmal widerrufen und innerhalb der Bearbeitungszeit der Zertifikatssperrliste (CRL) oder Online Certificate Status Protocol (OSCP) automatisch durch Zertifikate ersetzen, die unter dem neuen (Q)TCSP ausgestellt werden.
Kann KeyTalk auch die Zertifikate in meinem Netzwerk finden?
Ja, über den KeyTalk Smart Certificate Security Scanner. Sie können das Netzwerk auf allen Ports nach IP, IP-Bereich und vollständig qualifizierten Domänenamen durchsuchen lassen, um verwendete Zertifikate abzubilden.
Wenn Sie die Proxy-App KeyTalk Smart Certificate Security Scanner installieren, können Sie auch auf jedem Server einen genaueren Scan durchführen. Auf diese Weise können Sie Zertifikate finden, die nicht unbedingt an einen TCP-Port gebunden sind.
Kann die KeyTalk Plattform meine ausgestellten E-Mail Verschlüsselungen und digitale Signatur (S/MIME) Zertifikate veröffentlichen?
Ja, die KeyTalk Plattform kann gültige S/MIME Zertifikate veröffentlichen, die standardmäßig sowohl in Active Directory als auch in Azure Active Directory und (Open)LDAP ausgestellt werden.
Hierbei wird das Zertifikat in den üblichen AD/LDAP Attributen gespeichert: UserCertificate und AltSecurityIdentities.
Möchten Sie für öffentliche Zwecke ein Enterprise LDAP S/MIME Adessbuch / Schlüsselserver verwenden? Dies wird als separater virtueller Server in der KeyTalk Plattform bereitgestellt.
S/MIME E-Mail Verschlüsselung und Zertifikate für digitale Signatur müssen in Outlook für Windows konfiguriert werden. Kann KeyTalk dies unterstützen?
Ja. Obwohl Microsoft häufig angibt, dass dies nicht möglich ist, ist diese automatische Konfiguration schon seit Jahren über den KeyTalk Client/ die KeyTalk App möglich. Ohne weitere menschliche Interaktion, mit aktuellen SHA256 und AES256 Einstellungen.
If an S/MIME mail encryption and a digitally signed certificate are published in a public LDAP address book, how can it be used with common email clients?
Der KeyTalk Client/ die KeyTalk App kann jedes LDAP Adressbuch automatisch auf Outlook für Windows einstellen, sogar wenn Ihr LDAP Adressbuch Gebrauch von einer “benutzerdefinierten Sucheinstellung” macht.
Andere E-Mail Clients können, sofern sie die LDAP Adressbücher unterstützen, anhand einer klaren schriftlichen Anweisung manuell eingestellt werden.
Kann ich die KeyTalk Plattform High Available (HA) / redundant ausführen?
Ja, alle virtuellen KeyTalk Appliances unserer Kernlösung können HA ausführen. Dazu benötigen Sie einen Load Balancer. Sie können HA auch einfach einstellen, indem Sie unserem Administrator-Handbuch Schritt für Schritt folgen.
Auf meinem Server wird Server Name Indication (SNI) ausgeführt. Wird dies von KeyTalk im Hinblick auf die Zertifikatsverwaltung und automatische Bereitstellung / Installation unterstützt?
Ja, die KeyTalk Plattform unterstützt SNI. Hiermit stellen Sie auf dem KeyTalk Client/ der KeyTalk App per Server gehostete Site die gewünschte Zertifikatsvorlagen-Link, Authentifizierung und die benötigte Bindungs-IP ein, woraufhin die KeyTalk Plattform jedes SNI/SSL Zertifikat automatisch verwalten soll.
Meine Benutzer haben mehrere Geräte, auf denen sie E-Mails lesen können. Wie stellt KeyTalk sicher, dass das gleiche gültige S/MIME Zertifikat und private Schlüssel auf allen Geräten von diesen Benutzern landet?
KeyTalk unterstützt so genannte “certificaat en private sleutel roll-over”.
Kurz gesagt bedeutet das, dass KeyTalk ein Zertifikat und einen Schlüssel an ein Gerät von einem Endbenutzer erneut ausstellen kann, solange die Authentifizierung positiv ist. Voraussetzung ist, dass der private Schlüssel irgendwo abgerufen werden kann (HSM, eigene verschlüsselte KeyTalk Datenbank, ein anderes Schlüsselverwaltungssystem).
KeyTalk gibt gültige S/MIME Zertifikate an meine Endbenutzer aus, aber S/MIME funktioniert in meiner Umgebung nicht. Wie ist dies möglich?
Es kann mehrere Gründe geben, warum S/MIME für einen Endbenutzer nicht funktioniert. Dies sind die häufigsten:
- S/MIME ist für den E-Mail Client nicht eingestellt. Der E-Mail Client muss so eingestellt sein, um S/MIME Zertifikate für digitale Siganturen und/oder Verschlüsselung der zu versendenden E-Mails zu verwenden. Überprüfe, ob die Einstellungen des E-Mail Clients für die Verwendung von S/MIME korrekt sind.
- Es ist kein gültiges und vertrauenswürdiges S/MIME Zertifikat von dem Empfänger der zu verschlüsselnden E-Mail bekannt. Die meisten E-Mail Clients verwenden das Active Directory oder Azure Active Directory als Adressbuch, in dem auch die öffentlichen S/MIME Zertifikate veröffentlicht werden. Wenn sich kein gültiges und vertrauenswürdiges Zertifikat im (Azure) Active Directory befindet und der E-Mail Client das S/MIME Zertifikat des Empfängers nicht als lokal gespeichertes Adressbuch Mailadresse kennt, dann kann keine verschlüsselte E-Mail versendet werden (sondern eine digital Signierte E-Mail).
Als zusätzliche Option können einige E-Mail Clients auch einen sogenannten “LDAP Key Server” oder “LDAP S/MIME Adressbuch” einrichten, um S/MIME Zertifikate, die zu bekannten E-Mail Adressen gehören, zu speichern und zu suchen. KeyTalk liefert dieses LDAP S/MIME Adressbuch als Teil seiner KeyTalk Lösung.
- Um digital zu signieren, muss oft ein Hashing-Algorithmus im E-Mail Client eingerichtet werden. SHA1 ist oft ein Standard, wird aber seit 2007 von Empfängern nicht mehr als vertrauenswürdig angesehen. Sorg dafür, dass der eingestellte Hashing-Algorithmus für die digitale Signatur ein “moderner” Algorithmus ist, wie zum Beispiel SHA256. Beim Verwenden eines veralteten Algorithmus wird die E-Mail häufig versendet, aber der Empfänger kann die Nachricht nicht öffnen oder eine Warnung erhalten. In einigen Fällen wird eine mit einem veralteten Algorithmus empfangene E-Mail abgelehnt.
- Um die Verschlüsselung von einer E-Mail zu ermöglichen, muss im E-Mail Client häufig ein Verschlüsselungsalgorithmus eingestellt werden. Sorg dafür, dass der eingestellte Verschlüsselungsalgorithmus für die Verschlüsselung ein “moderner” Algorithmus ist, wie zum Beispiel AES256. Beim Verwenden eines veralteten Algorithmus wird die E-Mail häufig versendet, aber der Empfänger kann die Nachricht nicht öffnen oder eine Warnung erhalten. In einigen Fällen wird eine mit einem veralteten Algorithmus empfangene E-Mail abgelehnt.
- Arbeitet S/MIME über ein E-Mail Client auf einem Desktop oder einem Laptop, aber nicht auf iOS oder Android icm Exchange Online oder Outlook Web Access (OWA)? Dann sind zusätzliche Einstellungen erforderlich. Wir verweisen Sie auf:
Wie kann ich Office 365 Exchange Online so konfigurieren, dass es der sicheren S / MIME-E-Mail-Verschlüsselung und der digitalen Signatur vertraut und diese aktiviert?
Die Antwort auf diese Frage ist ziemlich technisch. KeyTalk hat ein Dokument zur Verfügung gestellt, das als Leitfaden für die Konfiguration von Exchange Online verwendet werden kann. Das Dokument (auf English) finden Sie hier: Alles, was Sie schon immer über SMIME E-Mail-Verschlüsselung und DigitaleSignierenung Konfigurationen wissen wollten, aber Angst hatten zu fragen
