10
Erstellung einer Root CA zur Signierung von PDF-Dateien
Hallo zusammen.. Ich habe eine Frage bezüglich eines Projekts meinerseits. Gefragt ist eine Zertifizierungsstelle, welche Benutzerzertifikate ausstellen kann und gleichzeitig von außerhalb gesehen als vertrauenswürdig eingestuft wird.
Ziel ist es, dass Benutzer eigene Zertifikate ausgestellt bekommen, mit welche sie dann PDF-Dateien digital Signieren können und diese dann von externen Personen auch auf ihre Richtigkeit geprüft werden können.
CA ist bisher noch nicht vorhanden. Ich dachte mir für den Anfang, dass wir das mithilfe eines Wildcard Zertifikats (Bsp. das OrganizationSS Zertifikat von Global Sign) für die Domain umsetzen können, nur weiß ich nicht, ob mithilfe dieses dann auch legitime Benutzerzertifikate ausgestellt werden können..
Ungefähr in der Art wie es bei QES gelöst wird.
Jede Hilfe ist willkommen!
Ziel ist es, dass Benutzer eigene Zertifikate ausgestellt bekommen, mit welche sie dann PDF-Dateien digital Signieren können und diese dann von externen Personen auch auf ihre Richtigkeit geprüft werden können.
CA ist bisher noch nicht vorhanden. Ich dachte mir für den Anfang, dass wir das mithilfe eines Wildcard Zertifikats (Bsp. das OrganizationSS Zertifikat von Global Sign) für die Domain umsetzen können, nur weiß ich nicht, ob mithilfe dieses dann auch legitime Benutzerzertifikate ausgestellt werden können..
Ungefähr in der Art wie es bei QES gelöst wird.
Jede Hilfe ist willkommen!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4484630517
Url: https://administrator.de/contentid/4484630517
Printed on: April 27, 2024 at 11:04 o'clock
10 Comments
Latest comment
Im Betreff schreibst du von einer Root CA. Dann von einem User/Server Zertifikat für? Für eine Windows AD?
Moin,
kurze Version:
- nur CAs können Zertifikate ausstellen
- internen CAs wird ausserhalb deiner Org nicht vertraut
- Wildcard-Cert nutzt dabei nix.
lg,
Slainte
kurze Version:
- nur CAs können Zertifikate ausstellen
- internen CAs wird ausserhalb deiner Org nicht vertraut
- Wildcard-Cert nutzt dabei nix.
lg,
Slainte
1von außerhalb gesehen als vertrauenswürdig eingestuft wird.
Und genau deshalb schließt sich eine eigene CA von vornherein aus wenn du damit meinst das "fremde" beim Zugriff auf deine Dokumente keine Fehlermeldung erhalten sollen. Außer du willst eine eigene "offizielle" CA hochziehen mit all dem drum und dran. Da du aber so eine Frage stellst denke ich nicht das du das nötige Wissen, "Kleingeld" und örtlichen Gegebenheiten für die Absicherung der CA mitbringst.Also bleibt dir nur dein Signatur Zertifikat von einer der öffentlichen CA zu beziehen (Kostenpflichtig), ob nun manuell oder per API Zugang für die Generierung bleibt dir überlassen.
Zitat von @4400667902:
Also bleibt dir nur dein Signatur Zertifikat von einer der öffentlichen CA zu beziehen (Kostenpflichtig), ob nun manuell oder per API Zugang für die Generierung bleibt dir überlassen.
von außerhalb gesehen als vertrauenswürdig eingestuft wird.
Und genau deshalb schließt sich eine eigene CA von vornherein aus wenn du damit meinst das "fremde" beim Zugriff auf deine Dokumente keine Fehlermeldung erhalten sollen. Außer du willst eine eigene "offizielle" CA hochziehen mit all dem drum und dran. Da du aber so eine Frage stellst denke ich nicht das du das nötige Wissen, "Kleingeld" und örtlichen Gegebenheiten für die Absicherung der CA mitbringst.Also bleibt dir nur dein Signatur Zertifikat von einer der öffentlichen CA zu beziehen (Kostenpflichtig), ob nun manuell oder per API Zugang für die Generierung bleibt dir überlassen.
Das Ganze ist ein Projekt, das auf Anfrage eines unserer Kunden entstehen soll, einer Anwaltskanzlei. Ob die Kosten dafür am Ende zu hoch sein werden, gilt für mich gerade herauszufinden. Sie wünschen sich eher eine eigene Zertifizierungsstelle, anstatt Zertifikate über Dritte erwerben zu müssen. Wie gesagt, ob sie sich am Ende dafür entscheiden, liegt an den Kosten des Ganzen.
Da ich selbst nicht vertieft in der Materie bin, muss natürlich auch viel Wissen ran geholt werden, weshalb ich mich hier schlau machen möchte..
Was meinst du denn mit "all dem drum und dran" das benötigt wird?
Was den Aspekt der Sicherheit angeht, darüber würden sich die Kollegen kümmern, sollte die aktuelle Infrastruktur nicht ausreichen.
Was meinst du denn mit "all dem drum und dran" das benötigt wird?
Ich glaube du unterschätzt das ganze vollkommen!Schau dir doch mal an was Let's Encrypt mit deren intermediate CA Unternehmen muss damit Ihre CA auch weltweit anerkannt wird. Dann erkennst du das eine RootCA für eine Anwaltskanzlei vollkommen absurd ist. Und von Kosten her sprechen wird hier von hohen 6-7 stelligen Beträgen, abgesehen davon musst du erst mal das Vertrauen der Browser und OS Hersteller gewinnen, und (Gebäude und Absicherung der CA kommt dann nochmal drauf).
Glaube mir, das wollt ihr nicht wirklich.
Eigene Zertifikate lassen sich auch bei offiziellen Anbietern komfortabel automatisiert über eine API generieren und signieren lassen, und das für einen "my" des Aufwands und Kosten für den Betrieb einer eigenen öffentlichen CA.
Naja, anstelle einer offiziellen Root CA kann man auch eine private betreiben. Dann muss man halt alle Partner dazu bringen dieser CA zu vertrauen
Zitat von @SlainteMhath:
Naja, anstelle einer offiziellen Root CA kann man auch eine private betreiben. Dann muss man halt alle Partner dazu bringen dieser CA zu vertrauen
Naja, anstelle einer offiziellen Root CA kann man auch eine private betreiben. Dann muss man halt alle Partner dazu bringen dieser CA zu vertrauen
Klar, stelle ich mir aber bei einer Anwaltskanzlei schwierig vor wenn die auch mit Endkunden und nicht nur Partner-Unternehmen Dokumente austauschen.
Ein Thema was für sehr sehr viele Missverständnisse sorgt ist das Thema Trust und SSL/TLS.
Hier gut zu beobachten.
Es wird ohne "echte" Zertifikate einer (echten) CA nicht gehen, außer alle Adressaten installieren sich private Zertifikate
Hier gut zu beobachten.
Es wird ohne "echte" Zertifikate einer (echten) CA nicht gehen, außer alle Adressaten installieren sich private Zertifikate
Zitat von @4400667902:
Schau dir doch mal an was Let's Encrypt mit deren intermediate CA Unternehmen muss damit Ihre CA auch weltweit anerkannt wird. Dann erkennst du das eine RootCA für eine Anwaltskanzlei vollkommen absurd ist. Und von Kosten her sprechen wird hier von hohen 6-7 stelligen Beträgen, abgesehen davon musst du erst mal das Vertrauen der Browser und OS Hersteller gewinnen, und (Gebäude und Absicherung der CA kommt dann nochmal drauf).
Glaube mir, das wollt ihr nicht wirklich.
Eigene Zertifikate lassen sich auch bei offiziellen Anbietern komfortabel automatisiert über eine API generieren und signieren lassen, und das für einen "my" des Aufwands und Kosten für den Betrieb einer eigenen öffentlichen CA.
Was meinst du denn mit "all dem drum und dran" das benötigt wird?
Ich glaube du unterschätzt das ganze vollkommen!Schau dir doch mal an was Let's Encrypt mit deren intermediate CA Unternehmen muss damit Ihre CA auch weltweit anerkannt wird. Dann erkennst du das eine RootCA für eine Anwaltskanzlei vollkommen absurd ist. Und von Kosten her sprechen wird hier von hohen 6-7 stelligen Beträgen, abgesehen davon musst du erst mal das Vertrauen der Browser und OS Hersteller gewinnen, und (Gebäude und Absicherung der CA kommt dann nochmal drauf).
Glaube mir, das wollt ihr nicht wirklich.
Eigene Zertifikate lassen sich auch bei offiziellen Anbietern komfortabel automatisiert über eine API generieren und signieren lassen, und das für einen "my" des Aufwands und Kosten für den Betrieb einer eigenen öffentlichen CA.
Besten Dank für die aufschlussreiche Erklärung
Habe persönlich kaum Erfahrung in dem Bereich und möchte nur, dass der Kunde bekommt was er will. Wenn das aber nicht geht, geht es halt nicht ^^
Schau dir alternativ zur einer echten RootCA mal folgende Produkte an
https://www.digicert.com/dedicated-intermediate
https://www.secardeo.de/produkte/certep/?gclid=EAIaIQobChMIwpLnh5eU-wIVw ...
usw.
Die sollten das liefern was der Kunde sich wünscht auch ohne viel Aufwand.
https://www.digicert.com/dedicated-intermediate
https://www.secardeo.de/produkte/certep/?gclid=EAIaIQobChMIwpLnh5eU-wIVw ...
usw.
Die sollten das liefern was der Kunde sich wünscht auch ohne viel Aufwand.