Zertifikatsimport S/MIME Outlook

Erfolgreiches Signieren und Verschlüsseln von E-Mails mit dem Exchange-E-Mail-Konto der TU Braunschweig.

Voraussetzungen


Sie benötigen zum Signieren und oder Verschlüsseln von E-Mails Ihres Kontos an der TU Braunschweig ein gültiges Nutzerzertifikat, wie es nach folgender Anleitung beantragt werden kann: Nutzerzertifikate

Import des Nutzerzertifikats


Das beantragte Nutzerzertifikat wird Ihnen zeitnah zip-komprimiert per E-Mail zugestellt. Sie erhalten eine E-Mail mit angehängtem ZIP-Ordner, in welchem sich das Zertifikat befindet.

smime_outlook005.png

Dieses zip-Archiv enthält eine pkcs#12 (.p12) Zertifikatsdatei. Diese muss entpackt und im Trust-Center von Outlook eingebunden werden.

Zum Hinzufügen des Nutzerzertifikats öffnen Sie die Oulook [Optionen] (Datei < Optionen).

smime_outlook006.png

Wählen Sie in den Optionen unter dem Reiter [Trust Center] die [Einstellungen für das  Trust Center] aus.

smime_outlook007.png

Wählen Sie die Kategorie [E-Mail-Sicherheit] aus und klicken Sie unter dem Aspekt Digitale IDs auf [Importieren/Exportieren].

smime_outlook008.png

In dem sich geöffneten Fenster müssen Sie nun die Zertifikatsdatei auswählen. Klicken Sie auf [Durchsuchen].

smime_outlook009.png

Wählen Sie die passende Datei aus und geben Sie das Transportpasswort ein, welches Sie beim Beantragen des Nutzerzertifikates (s.o.) im BDD eingegeben haben.

smime_outlook010.png

Klicken Sie nun auf [OK].  Anschließend erscheint das Modul zum Import und Verwaltung des Zertifikats und des enthaltenen Schlüssels. Klicken Sie auf [Sicherheitsstufe].

smime_outlook011.png

Der Autor empfiehlt die Sicherheitsstufe Hoch, diese hat zur Folge, dass beim Signieren oder Verschlüsseln der Zugriff auf das Zertifikat und den enthaltenen Schlüssel nur über eine Passwortabfrage möglich ist. Wählen Sie die für Ihre Sicherheit notwendige Sicherheitsstufe aus. 

Nach Klick auf [Weiter] und Abschluss des Imports können nun die eigentlichen Einstellungen zur Verwendung des Nutzerzertifikats zum Signieren und Verschlüsseln vorgenommen werden; Punkte 1 bis 3 ist das von uns empfohlene Alltagsverhalten. 

smime_outlook012.png

In den Einstellungen müssen anschließend noch folgende Parameter angepasst werden:

(1) Es darf bzw. sollte kein Haken bei [Inhalt und Anlagen für ausgehende Nachrichten verschlüsseln] gesetzt werden.
Hintergrund: es handelt sich primär um Signaturzertifikate. 

(2) Es muss ein Haken bei [Ausgehenden Nachrichten digitale Signatur hinzufügen] gesetzt werden.

(3) Es muss ein Haken bei [Signierte Nachricht als Klartext senden] gesetzt werden.

Klicken Sie anschließend auf [Einstellungen].

smime_outlook015.png


Vergeben Sie in dem neuen Fenster einen Namen für diese Sicherheitseinstellung (wenn noch nicht automatisch erzeugt). Setzen Sie die entsprechenden Häkchen wie im folgenden Bild und wählen Sie das Signaturzertifikat.  Bestätigen Sie mit [OK].

Wichtig: Ändern Sie nach Hinzufügen den Hashalgorithmus von SHA-1 auf mindestens SHA-256 und vergewissern Sie sich bitte, dass der Verschlüsselungsalgorithmus auf AES 256-bit eingestellt ist.

smime_outlook017.png

Wurde nun mit [OK] bestätigt, wird nun im Trust-Center das aktive S/MIME Profil angezeigt.

Sie können nun das Trust-Center und die Einstellungen schließen.

smime_outlook018.png

Import zusätzlicher Zertifikate für Funktionsaccounts

Nach Beantragung eines Zertifikats für einen Ihnen zugeordneten Funktionsaccount im BDD können Sie ähnlich dem Import der personenbezogenen Zertifikate verfahren.

Sie erhalten das Zertifikat als komprimierte .p12: 

mailcertfa01.png

Entpacken als .p12 in einen Ordner:

mailcertfa02.png

Anschließend in Outlook unter Datei -> Optionen 

mailcertfa03.png

Im Trust Center unter E-Mail-Sicherheit das zusätzliche Zertifikat importieren:

mailcertfa05.png

Bitte dazu die Importdatei mit Klick auf Durchsuchen (1) im entsprechenden Ordner auswählen (2) und öffnen (3).

mailcertfa05a.png

Anschließend das Transportkennwort eingeben (1) und mit (2) bestätigen.

mailcertfa05b.png

In diesem Fenster kann die Sicherheitsstufe (z.B. Passwort für den Zugriff auf dieses Zertifikat) wieder entsprechend angepasst werden. Anschließend mit OK bestätigen:

mailcertfa05c.png

Damit ist das Zertifikat importiert, nun muss es noch für die Verwendung konfiguriert werden. Dazu bitte im Trust Center (1) unter E-Mail-Sicherheit (2) mit Klick auf Einstellungen (3) ein Neu(4)es Profil anlegen:

mailcertfa07.png

Dies öffnet folgenden Dialog, dort bitte unter (1) eine passende Beschreibung auswählen (es empfiehlt sich die dazugehörige E-Mail-Adresse) und dann mit (2) das Signaturzertifikat auswählen:

mailcertfa08.png

Im folgenden Auswahldialog auf Weitere Optionen (1) klicken und das eben importierte Zertifikat für den Funktionsaccount auswählen (2), daraufhin aktualisiert sich (3) und es kann mit OK bestätigt werden:

mailcertfa09.png

Nun muss sichergestellt werden, dass das Zertifikat (1) passt, der Hashalgorithmus auf SHA-512 geändert (2) und ggf. Verschlüsselungsalgorithmus auf AES256 angepasst wird, das ganze mit Klick auf OK (4) bestätigen.
Hinweis: die Verwendung als Verschlüsselungszertifikat wird offiziell nicht empfohlen, da es zu Datenverlust führen wird, sollte das Zertifikat und Passwort nicht sicher aufbewahrt werden! 

mailcertfa10.png

Anschließend sind beide Zertifikatsprofile hinterlegt und das Trust Center kann mit Klick auf OK geschlossen werden.

mailcertfa11.png

Soll jetzt nun mit "Senden Als" oder "Senden im Auftrag" eine E-Mail signiert werden, wie folgt vorgehen:

Neue E-Mail schreiben, mit Klick auf Optionen (1) und Von (2) die entsprechende Funktions-E-Mail-Adresse auswählen (3) und sicherstellen, dass das Signieren (4) ausgewählt ist. Wie gewohnt mit dem Verfassen fortfahren. 
Beim Senden kommt je nach oben gewählter Sicherheitsstufe beim Import dann eine neue Passwortabfrage für den Zugriff über die CryptoAPI auf die hinterlegten Zertifikate. Wurde ein solches festgelegt, ist dieses Passwort bei allen Zugriffen auf die hinterlegten Zertifikate (personenbezogene Accounts oder Funktionsaccounts) identisch.

mailcertfa14.png

Die so signierte E-Mail wird dann wie folgt bei den Empfängern angezeigt: gesendet durch Person x im Auftrage der Funktionsadresse (oder direkt als dieser Account bei "Senden Als" Rechten) und signiert durch das Zertifikat des Accounts.

mailcertfa15.png

Mit Klick auf die Schleife können die Signaturdetails überprüft werden:

mailcertfa16.png

Verwendung


Beim Verfassen einer neuen E-Mail oder beim Beantworten ist durch die im Trust-Center vorgenommenen Einstellungen nun standardmäßig das Signieren aktiviert worden. Sollte die hohe Sicherheitsstufe für die Verwendung gewählt worden sein, wird nun z.B. beim Absenden einer Signierten Nachricht das gewählte Passwort abgefragt. 
Das Signieren kann aber auch in jeder Kommunikation deaktiviert oder auch das zusätzliche Verschlüsseln aktiviert werden.


Zum Anpassen der Optionen bitte in der geöffneten E-Mail [Optionen] auswählen und die gewünschten Einstellungen vornehmen:

smime_outlook019.png

Die oben genannte Passwortabfrage unterscheidet sich von der Exchange oder Windows-Domänen-Passwortabfrage und sieht wie folgt aus:

smime_outlook020.png

Erkennen von korrekt signierten Nachrichten


Eine signierte Nachricht erkennen Sie am "Schleifchen" des E-Mail-Symbols.

smime_outlook021.png

Im Nachrichtenkopf können Sie mit Klick auf das [Schleifchen] die Signatur überprüfen.

smime_outlook022.png

Es öffnet sich ein neues Fenster, in welchem weitere Informationen zur Signatur stehen. In diesem können Sie sich mit einem Klick auf [Details] weitere Informationen bezüglich des Zertifikates anzeigen lassen.

smime_outlook023.png

Es öffnet sich ein weiteres Fenster, in welchem unter anderem die ausstellende Einheit steht und für welche Person das Zertifikate ausgestellt worden ist.

smime_outlook024.png