Private Certificate Authority

Mit einer eigenen Zertifikationsautorität (CA) können Zertifikate für Ihre E-Mail-Aliase automatisch durch die Appliance erstellt werden.
Der Vorteil dabei ist, dass Sie Kosten für den Erwerb von Zertifikaten sowie für die Administration sparen.

Der Nachteil dabei ist, dass die Mail-Empfangsgegenstelle (Empfänger), Ihr Root-Zertifikat einmalig importiert haben muss, damit Ihre Zertifikate als gültig erkannt werden können.
Ein weiterer Nachteil ist, dass so erstellte Zertifikate nicht via CRL oder OCSP geprüft werden können.

Zur Verwendung einer eigenen privaten Zertifikationsautorität (CA) sind folgende Schritte notwendig :

  1. Rechtsklicken Sie im Bereich MailSealer auf Private Certificate Authorities und wählen "Erstellen"
  2. Sie können jetzt
    • Ein neues CA Zertifikat erstellen, dazu geben sie den Namen der CA ein, wählen die Option "Generate new CA certificate", vergeben einen gültigen x509 Namen (z.B. o=reddoxx) und setzen die Gültigkeitsdauer des zu erstellenden CA Zertifikates (Default sind dies 10 Jahre)
    • Ein vorhandenes CA Zertifikat hochladen, dazu geben Sie den Namen der CA ein, wählen die Option "Upload an existing certificate" und geben das Zertifikat mit zugehörigem Kennwort an
  3. Bestätigen Sie mit "Create Ceritficate Authority", damit wird die neue CA erstellt und in der Übersicht der Certificate Authorities anhand seines Namens aufgelistet
  4. Sie müssen eine CA als aktiv setzen um diese zu verwenden (Rechtsklick => set active)
    Die so aktivierte Autorität erstellt dann automatisch Zertifikate, wenn diese von einer entsprechenden MailSealer Richtlinie benötigt werden
    Es kann immer nur eine Autorität aktiv sein
  5. Wechseln Sie in die "MailSealer Settings" und stellen Sie sicher, dass S/MIME aktiviert ist, bestätigen Sie mit "Einstellungen übernehmen"
  6. Wechseln Sie in die den Bereich MailSealer "Policies" und definieren Sie mindestens eine ausgehende MailSealer Richtlinie
  7. Um die so generierte Root CA anderen Kommunikationspartnern zur Verfügung stellen zu können, wählen Sie die entsprechende CA und klicken auf "Export CA Certificate"
    WICHTIG: exportieren Sie die Root CA nicht mit dem privaten Schlüssel (Für die Abfrage "Do you want to include the private key" wählen Sie nein, wenn Sie die Root CA an Kommunikationspartner weitergeben)
    • Sie können mehrere Zertifikationsautoritäten verwenden, es kann allerdings immer nur eine aktiv sein
    • Falls nicht mehr benötigt, können Zertifikationsautoritäten via Rechtsklick => Löschen entfernt werden