Zertifikatsimport S/MIME Outlook
Erfolgreiches Signieren und Verschlüsseln von E-Mails mit dem Exchange-E-Mail-Konto der TU Braunschweig.
Voraussetzungen
Sie benötigen zum Signieren und oder Verschlüsseln von E-Mails Ihres Kontos an der TU Braunschweig ein gültiges Nutzerzertifikat, wie es nach folgender Anleitung beantragt werden kann: Nutzerzertifikate
Import des Nutzerzertifikats
Das beantragte Nutzerzertifikat wird Ihnen zeitnah zip-komprimiert per E-Mail zugestellt. Sie erhalten eine E_Mail mit angehängten ZIP-Ordner, in welchem sich das Zertifikat befindet.
Dieses zip-Archiv enthält eine pkcs#12 (.p12) Zertifikatsdatei. Diese muss entpackt und im Trust-Center von Outlook eingebunden werden.
Zum Hinzufügen des Nutzerzertifikats öffnen Sie die Oulook [Optionen] (Datei < Optionen).
Wählen Sie in den Optionen unter dem Reiter [Trust Center] die [Einstellungen für das Trust Center] aus.
Wählen Sie die Kategorie [E-Mail-Sicherheit] aus und klicken Sie unter dem Aspekt Digitale IDs auf [Importieren/Exportieren].
In dem sich geöffneten Fenster müssen Sie nun die Zertifikatsdatei auswählen. Klicken Sie auf [Durchsuchen].
Wählen Sie die passende Datei aus und geben Sie das Transportpasswort ein, welches Sie beim Beantragen des Nutzerzertifikates (s.o.) im BDD eingegeben haben.
Klicken Sie nun auf [OK]. Anschließend erscheint das Modul zum Import und Verwaltung des Zertifikats und des enthaltenen Schlüssels. Klicken Sie auf [Sicherheitsstufe].
Der Autor empfiehlt die Sicherheitsstufe Hoch, diese hat zur Folge, dass beim Signieren oder Verschlüsseln der Zugriff auf das Zertifikat und den enthaltenen Schlüssel eine Passwortabfrage erscheint. Wählen Sie die für Ihre Sicherheit notwendige Sicherheitsstufe aus.
Nach Klick auf [Weiter] und Abschluss des Imports können nun die eigentlichen Einstellungen zur Verwendung des Nutzerzertifikats zum Signieren und Verschlüsseln vorgenommen werden; Punkte 1 bis 3 ist das von uns empfohlene Alltagsverhalten.
In den Einstellungen müssen anschließend noch folgende Parameter angepasst werden:
(1) Es darf bzw. sollte kein Haken bei [Inhalt und Anlagen für ausgehende Nachrichten verschlüsseln] gesetzt werden.
Hintergrund: es handelt sich primär um Signaturzertifikate.
(2) Es muss ein Haken bei [Ausgehenden Nachrichten digitale Signatur hinzufügen] gesetzt werden.
(3) Es muss ein Haken bei [Signierte Nachricht als Klartext senden] gesetzt werden.
Klicken Sie anschließend auf [Einstellungen].
Vergeben Sie in dem neuen Fenster einen Namen für diese Sicherheitseinstellung (wenn noch nicht automatisch erzeugt). Setzen Sie die entsprechenden Häkchen wie im folgenden Bild und wählen Sie das Signaturzertifikat. Bestätigen Sie mit [OK].
Wichtig: Ändern Sie nach Hinzufügen den Hashalgorithmus von SHA-1 auf mindestens SHA-256 und vergewissern Sie sich bitte, dass der Verschlüsselungsalgorithmus auf AES 256-bit eingestellt ist.
Wurde nun mit [OK] bestätigt wird nun im Trust-Center das aktive S/MIME Profil angezeigt.
Sie können nun das Trust-Center und die Einstellungen schließen.
Verwendung
Beim Verfassen einer neuen E-Mail oder beim Beantworten ist durch die im Trust-Center vorgenommenen Einstellungen nun standardmäßig das Signieren aktiviert worden. Sollte die hohe Sicherheitsstufe für die Verwendung gewählt worden sein, wird nun z.B. beim Absenden einer Signierten Nachricht das gewählte Passwort abgefragt.
Das Signieren kann aber auch in jeder Kommunikation deaktiviert oder auch das zusätzliche Verschlüsseln aktiviert werden.
Zum Anpassen der Optionen bitte in der geöffneten E-Mail [Optionen] auswählen und die gewünschten Einstellungen vornehmen:
Die oben genannte Passwortabfrage unterscheidet sich von den von der Exchange oder Windows-Domänen-Passwortabfrage und sieht wie folgt aus:
Erkennen von korrekt signierten Nachrichten
Eine signierte Nachricht erkennen Sie am "Schleifchen" des E-Mail-Symbols.
Im Nachrichtenkopf können Sie mit Klick auf das [Schleifchen] können Sie die Signatur überprüfen.
Es öffnet sich ein neues Fenster, in welchem weitere Informationen zur Signatur stehen. In diesem können Sie sich mit einem Klick auf [Details] weitere Informationen bezüglich des Zertifikates anzeigen lassen.
Es öffnet sich ein weiteres Fenster, in welchem unter anderem die ausstellende Einheit steht und für welche Person das Zertifikate ausgestellt worden ist.