5 Tipps zum Endjahresputz mit den Zertifikaten auf der SEPPmail

Die Tage werden kürzer und die Temperaturen passen sich auch immer mehr der Winterzeit an. Die Sonne hat uns ein wenig im Stich gelassen doch wir machen das Beste daraus. Wenn es früher dunkel wird, kann man die Zeit nutzen, um ein wenig zu lesen, z.B. ein neuer Blogartikel von uns 😉

Der heutige Eintrag dreht sich um die SEPPmail, aber eigentlich mehr um die S/MIME Zertifikate. Mit der SEPPmail und einer MPKI hat man den Luxus, dass man sich selber nicht mehr um das Ausstellen von Benutzer Zertifikaten kümmern muss und kann dies mit gutem Gewissen der MPKI überlassen.

Doch es kann passieren, dass man plötzlich die Übersicht über seine S/MIME-Zertifikate verliert und eine gesalzene Rechnung Ende Jahr erhält. Um dem vorzubeugen, möchte ich ein paar Tipps über das Management auf der SEPPmail Appliance geben und wie man allgemein alle Zertifikate ein wenig besser verwalten kann.

Auf der «Startseite» der SEPPmail Appliance sieht man direkt unter dem Punkt «License» wie viele Lizenzen auf der SEPPmail vorhanden sind und wie viele schon im Gebrauch sind. Dadurch erhält man eine erste ungefähre Angabe der verwendeten Zertifikate. Weiter wird auch hier die Anzahl Benutzer angezeigt, welche seit drei Monaten keine Mails mehr versendet haben und somit möglicherweise auf inaktiv gesetzt werden können. Dadurch wird auch eine Lizenz wieder frei.

Unter dem Menüpunkt «Users» werden alle User angezeigt, welche auf der SEPPmail angelegt wurden. Auch hier sieht man, zu welchem Zeitpunkt ein Benutzer zuletzt eine Mail versendet hat.

Alle User, welche nicht mehr verschlüsseln müssen oder dürfen, sollen auf «inactiv» gesetzt werden. ACHTUNG: Wenn diese aber weiter Mails verschicken an Adressen, welche Zertifikate haben, gibt es eine Fehlermeldung. Man sollte somit nur User, welche schon lange keine Mails mehr verschickt haben auf «inactive» setzen. Durch das Anwählen der zwei Optionen «May not encrypt mails» und «May not sign mails» wird der User inaktiv und benötigt keine Lizenz mehr auf der SEPPmail.

Unter dem einzelnen User ist auch ersichtlich, wie viele S/MIME Zertifikate für diesen ausgestellt wurden und es wird angezeigt, ob ein Zertifikat noch gültig ist. Dies ist eine praktische Option zu überprüfen ob ein User eines oder mehrere Zertifikate besitzt.

Wenn ich als Administrator der SEPPmail erfasst bin und eine gültige Emailadresse hinterlegt habe, so erhalte ich täglich einen SEPPmail Daily Report. Dieser enthält ein CSV als Anhang, welches für jeden User genaue Informationen über die Zertifikate und den letzten Versand geben. Von diesem User Report lässt sich auch rauslesen, welche User aktuell eine User Lizenz der SEPPmail verwenden und welche nicht. Die wichtigsten Attribute habe ich hier mal rot markiert in der Tabelle.

Damit die eigenen User nicht mit revozierten Zertifikaten signieren oder verschlüsseln, empfehlen wir, auch diese regelmässig zu überprüfen.
Dies kann einfach eingerichtet werden unter «Users -> Advanced Settings -> Automatically check revocation status ervery day».

Die SEPPmail kann automatisch Zertifikate von externen Sendern lernen und abspeichern. Diese Zertifikate müssen aber auch überprüft werden, damit mögliche revozierte Zertifikate nicht mehr verwendet werden. Hierfür kann der Check unter «X.509 Certificates –> Advanced Settings -> Automatically check revocation status every day» erfolgen. Es gibt hier noch weitere Optionen und wir empfehlen hier auch den Check für doppelte Zertifikate zu aktivieren.

Bei der letzten Einstellung bzw. Check werden die Root Zertifikate überprüft. Die Optionen hierzu sind unter «X.509 Root Certificates -> Advanced Seetings» zu finden. Hier wird empfohlen die zwei Checks für die Expiration und Revocation zu aktivieren. Root Zertifikate werden zwar selten revoziert und haben normalerweise eine längere Laufzeit als andere Zertifikate, jedoch sollte man schnell reagieren (oder dies automatisch machen lassen), damit alle anderen Zertifikate, welche «unter» diesem Root Zertifikat sind, nicht mehr verwendet werden.

Um ganz sicherzugehen, dass man nicht zu viele Zertifikate erstellt hat, empfehle ich auch von Zeit zu Zeit mal in das Portal der MPKI zu gehen. Dort gibt es bei den Anbietern meist eine Such- oder Verwaltungs-Option, um die eigenen User Zertifikate anzeigen zu lassen. Somit kann man auch nochmals überprüfen, ob das Ausstellen und auch Revozieren durch die SEPPmail noch funktionsfähig ist.

Durch die eingebauten Optionen der SEPPmail erhält man eine gute Übersicht der Zertifikate und kann diese auch automatisch verwalten lassen. Dies erspart Zeit und Aufwand und vor allem trägt es auch zum eigenen Schutz bei, wenn nur gültige Zertifikate für die Kommunikation verwendet werden.

www.avantec.ch/loesungen/seppmail/