Skip to Content.
Sympa Menu

cacert-de - AW: Client-Zertifikate f. RK-Dienstplan: Vollmacht benöt igt?

Subject: Deutschsprachige CAcert Support Liste

List archive

AW: Client-Zertifikate f. RK-Dienstplan: Vollmacht benöt igt?


Chronological Thread 
  • From: "Florian Lagg" <info AT lagg.at>
  • To: <cacert-de AT lists.cacert.org>
  • Subject: AW: Client-Zertifikate f. RK-Dienstplan: Vollmacht benöt igt?
  • Date: Wed, 24 Feb 2010 12:33:49 +0100

> Hallo Florian,
Hallo, 

danke erst mal für die Antwort.

> melde die Domain in Deinem CACert Account an, ggf. sprich das mit den
> Offiziellen ab. Mailping geht an eine Mailadresse, die Du ggf. schon
> bekommst (Admin-C), ansonsten soll jemand (Owner) auf den Mailping
> antworten und die Domain ist damit in Deinem Account aktiviert.

Ok, das ist mal kein Problem. Schließlich verwalte ich die Domain und
bekomme auch die postmaster/webmaster-Adressen.

> Danach kannst Du Zertifikate bauen und signieren lassen. Wie das geht
> weisst Du sicherlich, wenn nicht da gibts eine Menge Artikel zu im Netz
> oder frag mich noch mal.

Is klar.

> Bei den Client Zertifikaten sieht es anders aus, da Du die nur für
> Mailadressen erstellen kannst, die Du in Deinem Account aktiviert hast
> (bzw in anderen Accounts aktiviert sind).
> 
> Also entweder jeder macht sich einen Account und ihr Assured Euch
> untereinander so dass alle mehr als 50 Punkte haben. 

Das dürfte hier nicht machbar sein. Wir sprechen hier von einer Gruppe
ehrenamtlicher Mitarbeiter die mit Zertifikaten größtenteils nichts zu tun
haben wollen. Zwangsbeglücken will und kann ich die nicht.

> Alternativ dazu
> wäre die Org Assurance. Ob man einfach Mailadressen bei sich eintragen
> sollte (alle in Deinem Account und dann die Leute die Mailpings
> beantworten lassen) weiss ich nicht. Organisatorisch und
> sicherheitstechnisch sicherlich nicht 1. Wahl da Du alles verwalten
> musst (SPOF) und Du auch alle Zertifikate incl der Keys hast (ebenfalls
> SPOF).

Ja, SPOF ist sicherlich ein Argument.
Ich denke einfach dass eine Org.Assurance ein Monster für diesen Zweck ist.
Der Aufwand steht wohl nicht dafür.
Ich habe mir auch schon überlegt die Surfstation mit einem Selbst-signierten
Zertifikat auszustatten und den Usern einfach User/Passwort zu geben (Das
brauchen Sie sowieso wenn sie nicht an Ihrem Rechner sind). 

> Du gibst bei den Zertifikaten (insbesondere bei dem Public Cert)
> natürlich an, dass es nicht für Logins auf cacert.org benutzt werden
> darf. Dann kann da eigentlich nichts passieren. Du solltest evtl
> verhindern, dass das Zertifikat exportiert werden darf (wenn das geht).

Letzteres geht definitiv und hätte ich auch gemacht, bei ersterem (Login nur
auf Seite XY) bin ich mir nicht sicher.
Wie kann man das bewerkstelligen?

> bis dann,
> 
> Markus

Dankeschön, LG

-- 
 Florian Lagg

 Florian Lagg - IT-Komplettlösungen
 Juch 7, 6631 Lermoos
 tel +43 (676) 344 677 5
 www.lagg.at - 
info AT lagg.at
-
 Xing: http://www.xing.com/go/invite/7372113.3da562
-

Attachment: smime.p7s
Description: S/MIME cryptographic signature




Archive powered by MHonArc 2.6.16.

Top of Page