Wie erstelle ich ein S/MIME Zertifikat und integriere dieses in meine Office 365 Web?

Die Integration eines S/MIMS Zertifikats in Office 365 bringt einige Herausforderungen mit sich. Zunächst einmal muss ein entsprechendes Zertifikat beschafft werden. Ich habe mich für ein Klasse 3 Zertifikat entschieden, da ich sowohl meine Person als auch mein Unternehmen im Zertifikat enthalten sehen wollte. Vorab möchte ich jedoch anmerken, dass Certum wohl als einzige Zertifizierungsstelle nicht das für S/MIME benötigte .pfx Dateiformat liefert, sondern eine .cer Datei.

Als Zertifizierungsstelle habe ich mich für Certum in Polen entschieden. Hier wird das von mir gewünschte Zertifikat zu einem vernünftigen Preis angeboten.

Zunächst musste ich den Schlüssel aus dem gleichen Browser extrahieren, von demselben Computer, auf dem ich es im Rahmen des Bestellprozesses aktiviert habe. Die funktioniert laut Certum Support wie folgt:

  1. Melden Sie sich bitte bei Ihrem Konto im Store an: https://shop.certum.eu/customer/account/login/ (Internet Explorer).
  2. Klicken Sie auf der Registerkarte Zertifikatverwaltung auf Online installieren. Das Zertifikat wird im Internet Explorer-Speicher installiert (Internetoptionen – Inhalt – Zertifikate – persönlich).
  3. Bitte exportieren Sie die datei pfx/p12 (Zertifikat + privater Schlüssel) von dort.
  4. Die Datei kann z.B. auf eine kryptografische Karte (gemeinsames Profil) oder in ein E-Mail-Programm hochgeladen werden.

Nachdem ich das Zertifikat vergebens gesucht hatte, hatte ich mich bereits vor Antwort des Supports für einen anderen Weg entschieden:

  1. Download des .cer Files aus dem Certum Shop Account
  2. Doppelklicken Sie auf die .cer Datei, und installieren Sie das Zertifikat im Windows-Benutzerzertifikatspeicher
  3. Open Internet Explorer – Einstellungen – Internetoptionen – Inhalte – Zertifikate
  4. Ich wählen mein CERTUM-Zertifikat aus und klicke auf Exportieren
  5. Export einschließlich privater Schlüssel – .pfx-Datei – Zertifizierungspfade enthalten – Zertifikatsicherheit aktivieren
  6. Ich estellen ein Passwort und wählen als Verschlüsselung TripleDES-SHA1 und exportiere das gewünschte Zertifikat
  7. Importieren der .pfx-Datei in Outlook

Beide Wege haben funktioniert.

Die eigentliche Herausforderung ergibt sich dann, wenn man das so gewonnene Zertifikat nun auch in Outlook Web nutzen möchte.

  • verbesserte Sicherheit – 2-Faktor Authentifizierung

  • erweiterte Performance – Skalierbarkeit von Cloud Computing

  • Access from anywhere – ortsunabhängige Zugriffe

  • Real-time backups – Datensicherung in Echtzeit

  • Vollständig Cloud basiert – hohe Flexibilität

  • beliebige Anzahl von Endgeräten – Wachstum vorprogrammiert

Eine performante Anbindung ist zwingend erforderlich. Will man beispielsweise Services inhouse betreiben und diese extern zur Verfügung stellen, so ist eine breitbandige Anbindung an das Internet oder MPLS des Unternehmens zwingend. Bei der Nutzung sind gegebenenfalls erforderliche Latenzzeiten zu berücksichtigen.

Vertrauensstellung von S/MIME-Zertifikaten in Office 365?

Anders als bei einem lokalen Exchange-Server vertraut Office 365 Exchange Online keinerlei öffentlich oder privat vertrauenswürdigen Stammzertifizierungsstellen und Zwischenzertifizierungsstellen, von denen S/MIME-Zertifikate ausgestellt werden. Wenn die eigene Exchange- und Office 365 Exchange-CA-Vertrauensketten NICHT aktualisiert wird, zeigt Outlook Web folgenden Fehler:

Somit ist es also erforderlich die entsprechenden CA-Vertrauensstellungen in der eigenen Office 365-Umgebung zu aktivieren.
Die genannten Schritte sind beim Verwenden des Outlook Clients hingegen nicht erforderlich, da dieser sich aus dem Zertifikatsspeicher von Windows bedient.

Erstellen einer SST-Datei (Serialized-Certificate Store), aber wie?

Es wird empfohlen, sorgfältig auszuwählen, welche Zertifizierungsstellen in der eigenen Office 365-Umgebung vertrauen erlangen sollen.Das Hochladen ungültiger CA-Roots sollte somit tunlichst vermieden werden. Führen Sie die folgenden Schritte aus, um Ihre SST-Datei in einer Windows-Umgebung zu erstellen:

Ich habe folgende Schritte ausgeführt, um meine SST-Datei in einer Windows-Umgebung zu erstellen:

  • Powershell oder die Eingabeaufforderung wurde gestartet über „certmgr“ oder die MMC mit dem Zertifikat-Snapin
  • Verschieben oder kopieren Sie Zwischenzertifizierungsstellen von den Zwischenzertifizierungsstellen in das vertrauenswürdige Stammverzeichnis Zertifizierungsstellen, da der SST-Export nur einen Ordner verarbeiten kann
  • „Vertrauenswürdige Stammzertifizierungsstellen“ und dann „Zertifikate“ wurden ausgewählt
  • ausgewählt wurden alle gültigen (bedeutet: nicht abgelaufenen) Stammzertifizierungsstellen und Zwischenzertifizierungsstellen
    (halten Sie die STRG-Taste gedrückt)
  • da ich Office 365 vertrauen möchten, wählte ich mindestens zwei und nur nicht abgelaufen Zertifizierungsstellen oder
    Zwischenzertifizierungsstellen aus
  • dann die „Aktion“ -> „Exportieren“
  • „SST“ -> „Weiter“ gewählt
  • dann wurde der SST-Datei ein Name und einen Speicherort ausgewählt
  • der Export war fertig

Share This Information

DIE CLOUD

IST IHRE ZUKUNFT.

BEGINNEN SIE JETZT