KOBIL midentity V1.5.2 Benutzerdokumentation Deutsche Version

Transkript

1 KOBIL midentity V1.5.2 Benutzerdokumentation Deutsche Version

2 Inhaltsverzeichnis 1 Was ist KOBIL midentity? Lieferumfang Systemanforderungen Inbetriebnahme von KOBIL midentity Einlegen der KOBIL midentity Smart Card KOBIL midentity Software Installation Eingabe des Lizenzschlüssels Erste Schritte Ihr persönlicher KOBIL midentity KOBIL midentity abmelden Die KOBIL midentity SmartCard Initialisierung der KOBIL midentity SmartCard Besonderheiten der T-TeleSec E4 NetKey Card der T-Systems Was passiert, wenn ich die falsche PIN eingebe? Änderung/Entsperrung der PIN Ihrer KOBIL midentity SmartCard Digitale Zertifikate Was ist ein Digitales Zertifikat? Woher bekomme ich mein Zertifikat? Der Windows-Zertifikatsmanager Import eines neuen Trustcenter-Zertifikates Import von Zertifikaten anderer Benutzer Import von vorhandenen Zertifikaten auf Ihre KOBIL midentity SmartCard Wechsel eines Zertifikates Löschen von Zertifikaten von Ihrer KOBIL midentity SmartCard KOBIL midentity Personalisierung Software Updates Ihre mobile Identität Passwörter und Simple Sign-On (SSO) Was ist Simple Sign-On (SSO)? Bedienung des Simple Sign-On - Überblick Anlernen von Anmeldedaten Arbeiten mit Terminal Konsolen Verwalten der Anmeldedaten Backup der Anmeldedaten Wiederherstellung der Anmeldedaten KOBIL midentity SSO-Notfall-Assistent Windows SmartCard Logon

3 5 Ihr mobiler Datensafe Starke Verschlüsselung für sensible Daten Datensafe s mit KOBIL midentity Einrichten von Datensafes auf Ihrer Festplatte Einrichten von Datensafes auf Netzlaufwerken Einrichten des Datensafes auf KOBIL midentity Arbeiten mit Datensafes Löschen von Datensafes Löschen einer Verknüpfung auf einen Datensafe Datei-Sicherheit Verschlüsselung von Dateien und Verzeichnissen Verschlüsselungs-Empfänger bearbeiten Entschlüsselung von Dateien und Verzeichnissen Digitale Signaturen über Dateien und Verzeichnisse Mehrfach-Signaturen Überprüfung von Digitalen Signaturen über Dateien und Verzeichnisse Gleichzeitige Signatur und Verschlüsselung von Dateien und Verzeichnissen Entschlüsselung und Signaturprüfung von Dateien und Verzeichnissen Voreinstellungen zur Datei-Sicherheit Notfall-Wiederherstellung Additional Decryption Keys Ihr mobiles Office Sicherheit mit Outlook Auswahl des Zertifikats Einrichtung der Buttons unter Outlook Versenden von abgesicherter Empfang von abgesicherter KOBIL esecure für SAP R A Grundlagen der Kryptographie und Standards 98 A.1 Sicherheitsziele A.2 Begriffe und Grundlagen A.3 Standards A.3.1 Hash-Algorithmen A.3.2 Symmetrische Verschlüsselungs-Algorithmen A.3.3 Public Key Algorithmen A.3.4 Zertifikate A.3.5 Zertifizierungsstellen A.3.6 Smartcards und Chipkartenterminals A.3.7 Secure Socket Layer (SSL) A.3.8 Secure Multipurpose Internet Mail Exchange (S/MIME) B Glossar 109 2

4 Kapitel 1 Was ist KOBIL midentity? KOBIL midentity ist ein vollkommen neuartiges Produkt, das Ihnen Ihr Leben erleichtert. Egal ob bei der täglichen Arbeit im Büro, unterwegs oder zu Hause privat: KOBIL midentity macht Ihre Welt mobil, denn KOBIL midentity ist Ihre mobile Identität, Ihr mobiler Datensafe und Ihr mobiles Office! 1.1 Lieferumfang KOBIL midentity Light / Basic / Classic Schlüsselring (optional) Docking Station mit 1.8m USB 2.0 Anschlusskabel (optional) Smart Card im SIM-Format (optional) CD-ROM (optional) Lizenzschlüssel (nur bei KOBIL midentity Light+) 1.2 Systemanforderungen Betriebssysteme: Microsoft Windows 2000 (ab Service Pack 3) oder Microsoft Windows XP (ab Service Pack 1) oder Microsoft Windows 2000/2003 Server 1 Unterstützte Software: Microsoft Internet Explorer ab V5.5 Microsoft Outlook ab Version 2000 SR-1 oder Microsoft Office ab Version 2000 Hardware: 256 MB Arbeitsspeicher (RAM) 20 MB freier Speicherplatz auf der Festplatte Ein freier USB-1.1 oder USB 2.0 Anschluss 1 für Server-Installationen siehe extra Server-Setup auf CD 3

5 Kapitel 2 Inbetriebnahme von KOBIL midentity 2.1 Einlegen der KOBIL midentity Smart Card Sie erhalten zusammen mit ihrem KOBIL midentity auch eine Smart Card im SIM-Format, die entweder beiliegt oder Ihnen von Ihrem System-Administrator separat übergeben wird. Um KOBIL midentity in Betrieb zu nehmen, müssen Sie die KOBIL midentity SmartCard aus dem Träger herausbrechen (ähnlich wie bei Mobiltelefonen) und in KOBIL midentity einsetzen. 4

6 Abbildung 2.1: Einlegen der KOBIL midentity SmartCard im SIM Format Hinweis: Bitte entnehmen Sie die KOBIL midentity SmartCard nur im abgezogenen Zustand von KO- BIL midentity. Die Entnahme der SmartCard wird durch den Deckel erleichtert, er dient gleichzeitig als Entnahme-Werkzeug. Abbildung 2.2: Entnahme der SmartCard aus KOBIL midentity 5

7 2.2 KOBIL midentity Software Installation Um KOBIL midentity mit dem mobilen Datensafe 1 zu nutzen, benötigen Sie keine Installations CD-ROM oder Treiber- Downloads. Sobald Sie Ihr Gerät das erste Mal stecken, werden Sie automatisch durch eine Initialisierung geleitet, bei der Sie das Gerät zum installationslosen Gebrauch konfigurieren. Danach können Sie an jedem beliebigen Rechner auf Ihre hochsicher, geschützt durch SmartCard Technologie, abgelegten Daten zugreifen. KOBIL midentity kann aber noch mehr! Um die komplette Funktionalität Ihres KOBIL midentity zu nutzen, können Sie die beigelegte KOBIL midentity Software auf Ihrem System installieren. Die KOBIL midentity Software ist für alle KOBIL midentity Modelle nutzbar und liegt je nach Modell Ihrem KOBIL midentity bei (als CD-ROM) oder Sie können die jeweils aktuellste Version im Internet herunterladen unter Schauen Sie hier von Zeit zu Zeit nach Updates der Software. 1. Starten Sie Ihren PC. Wichtig: Bitte stellen Sie sicher, dass Ihr KOBIL midentity während der Software Installation NICHT am PC steckt! 2. Sie müssen zur Installation als Administrator angemeldet sein (der spätere Betrieb ist jedoch problemlos auch mit eingeschränkten Benutzerrechten möglich). 3. Beenden Sie alle laufenden Programme. 4. Legen Sie die KOBIL midentity Software CD-ROM in Ihre CD-ROM/DVD-ROM Laufwerk ein, das Setup startet automatisch. Falls dies nicht der Fall ist, starten Sie das Setup bitte manuell aus dem Windows Explorer. Wählen Sie den Menüpunkt KOBIL midentity Software installieren. 5. Nun startet die Installationsroutine mit der Sprachauswahl. Wählen Sie die gewünschte Sprache aus und klicken Sie auf OK. Abbildung 2.3: Auswahl der Installations-Sprache 6. Die Lizenzbestimmungen müssen Sie mit Ja bestätigen, damit die Installation fortgesetzt werden kann. Wenn Sie nicht mit den Lizenzbestimmungen einverstanden sind, so klicken Sie bitte auf Nein, um die Installation abzubrechen. 1 gilt nicht für KOBIL midentity Light 6

8 Abbildung 2.4: Lizenzvereinbarung 7. Nun werden Sie aufgefordert, das Installationsverzeichnis für die KOBIL midentity Software festzulegen. In der Regel können Sie die Voreinstellungen übernehmen und einfach auf Weiter klicken, um die Installation fortzusetzen. Abbildung 2.5: Auswahl des Installations-Pfades 8. Klicken Sie im letzten Dialogfenster auf Fertigstellen, um die Installation abzuschliessen. 7

9 Abbildung 2.6: Abschluss der Installation Hinweis: Bevor Sie die Software zum ersten Mal benutzen, werfen Sie bitte einen Blick in das installierte Handbuch und die LIESMICH Datei, um aktuelle Informationen zu dieser Version zu erhalten. Nach der erfolgreichen Installation führen Sie bitte einen Doppelklick auf das KOBIL midentity Icon auf dem Desktop aus, um die KOBIL midentity Software zu starten. Die Software läuft in der Windows Traybar (rechts unten auf dem Desktop in der nähe der Uhr). Sie können dort entweder mit einem Rechts-Klick das Schnell-Zugriffs-Menü öffnen oder durch einen Doppelklick das Hauptfenster öffnen. 2.3 Eingabe des Lizenzschlüssels So lange kein KOBIL midentity eingesteckt ist, sind alle Funktionen bis auf das Handbuch deaktiviert. Je nachdem welches KOBIL midentity Paket Sie erworben haben, sind ggf. auch nach dem Stecken des Gerätes nicht alle Funktionen der Software aktiviert. Sofern Sie KOBIL midentity Light+ oder KOBIL midentity Basic + Upgrade einsetzen, haben Sie die Möglichkeit zusätzliche Funktionen durch Eingabe des Lizenzschlüssels freizuschalten. Eine entsprechende Meldung erscheint beim ersten einstecken Ihres KOBIL midentitys, kann aber auch jederzeit nachträglich erfolgen. Dieser Lizenzschlüssel wird Ihnen entweder zusammen mit Ihrem Paket ausgehändigt (falls Sie den kompletten Funktionsumfang mit dem Paket erworben haben) oder Sie können ihn nachträglich als Upgrade über Ihren zertifizierten KOBIL Partner erwerben. Folgende Pakete können bezogen werden: KOBIL midentity Light: Keyabfrage bei der Erstbenutzung kann ignoriert werden (einfach wegklicken). 8

10 KOBIL midentity Light+: Keyabfrage bei der Erstbenutzung mit dem Key vom Lieferschein ausfüllen. Eine spätere Freischaltung kann durch Eingabe des Keys, wie unten beschrieben, vorgenommen werden. KOBIL midentity Basic: Keyabfrage bei der Erstbenutzung kann ignoriert werden (einfach wegklicken). Bei einem späteren Upgrade kann der Key, wie unten beschrieben, nachträglich eingegeben werden. KOBIL midentity Classic: Voller Funktionsumfang ohne Keyabfrage verfügbar. Zur Eingabe des Lizenzschlüssels wählen Sie bitte die Option Einstellungen Sonstiges Info und geben Sie den Lizenzschlüssel in die dafür vorgesehenen Felder ein. Abbildung 2.7: Eingabe des Lizenzschlüssels 9

11 Abbildung 2.8: Eingabe des Lizenzschlüssels 10

12 Kapitel 3 Erste Schritte 3.1 Ihr persönlicher KOBIL midentity Die KOBIL midentity Control Center Software besteht aus einem Hauptfenster (siehe Abbildung 3.1) und einem Traybar Menü, das im Hintergrund in der Windows Traybar rechts unten in der Nähe der Uhr (siehe Abbildung 3.2) läuft. Abbildung 3.1: Das KOBIL midentity Control Center Durch einen Doppelklick auf das Traybar-Icon wird das Hauptfenster geöffnet. Generell sind alle wichtigen Funktionen gleichermassen über die Traybar und das Hauptfenster erreichbar. Das Hauptfenster eignet sich besser für ungeübte Benutzer, während die Traybar ein effizientes Arbeiten für geübte Benutzer ermöglicht. Abbildung 3.2: Schnellsteuerung über die Traybar 11

13 3.2 KOBIL midentity abmelden Wichtig! Wenn Sie KOBIL midentity abziehen möchten, müssen Sie diesen zuerst abmelden, um Datenverlust zu vermeiden! Die Abmeldung ist auch unter Windows XP/2003 notwendig, damit ggf. geöffnete Container korrekt geschlossen werden können. Klicken Sie zur Abmeldung mit der rechten Maustaste auf das Traybar Menü (3.3) und wählen Sie midentity abmelden. Alternativ können Sie im Hauptfenster auch auf den Button midentity abmelden klicken. Abbildung 3.3: KOBIL midentity abmelden 3.3 Die KOBIL midentity SmartCard Die KOBIL midentity SmartCard bildet das Herz von KOBIL midentity, denn auf Ihr sind Ihre persönlichen Informationen und Schlüssel sicher gespeichert. Bei der Inbetriebnahme (siehe Abschnitt 2) haben Sie diese in KOBIL midentity eingelegt. Ohne die KOBIL midentity SmartCard ist kein Zugriff auf gesicherte Informationen inner halb KOBIL midentity möglich. Alle Funktionen von KOBIL midentity sind durch die PIN (Geheimzahl) der SmartCard geschützt. Da nur Sie die Geheimzahl kennen, kann niemand ausser Ihnen die Funktionen nutzen und auf die gesicherten Daten zugreifen. Die PIN ist durch einen Fehlbedienungs-Zähler geschützt, d.h. nach drei aufeinanderfolgenden Falscheingaben wird die Karte gesperrt und ist nur durch die Eingabe der PUK (Entsperrungs-Geheimzahl wie bei Mobiltelefonen) wieder zu entsperren. Sie erhalten die PIN entweder zusammen mit der KOBIL midentity SmartCard von Ihrem Administrator oder, falls sie noch leer ist, können Sie die PIN und die PUK selbst bei der ersten Benutzung eingeben. Merken Sie sich die PIN (und ggf. die PUK) gut, denn ohne sie kann KOBIL midentity nicht genutzt werden! Initialisierung der KOBIL midentity SmartCard Nachdem Sie Ihren KOBIL midentity in Betrieb genommen und die dazu gehörige Software installiert haben (siehe Abschnitt 2), kann es nun losgehen. Starten Sie Ihre KOBIL midentity Control-Center-Software (siehe Abschnitt 3.1) und stecken Sie Ihren KOBIL midentity in den optional erhältlichen Standfuß bzw. an einen freien USB-Port. 12

14 Wurde Ihre KOBIL midentity SmartCard bereits initialisiert, das heißt es wurden PIN, PUK und ein Zertifikat zur Datenverschlüsselung festgelegt, können Sie direkt mit Ihrem KOBIL midentity arbeiten. Voraussetzung ist das Wissen der korrekten PIN und PUK. KOBIL midentity wird standardmäßig mit einer leeren SmartCard ausgeliefert. Leer bedeutet in diesem Zusammenhang, dass auf der Karte weder PIN und PUK, noch ein Zertifikat vorhanden sind. In diesem Fall wird Sie der Initialisierungs- Assistent bei der ersten Benutzung dazu auffordern, einige grundlegende Konfigurationen vorzunehmen. Im ersten Schritt können Sie den momentanen Zustand der Karte einsehen (siehe Abbildung 3.4). Bei einer komplett leeren Karte werden Sie in den nächsten Schritten folgende Konfigurationen vornehmen: Abbildung 3.4: KOBIL midentity Initialisierungs-Assistent (leere Karte) 1. Festlegung von PIN und PUK: Mit Ihrer PIN authentfizieren Sie sich bei jeder sicherheitsrelevanten Operation gegenüber der KOBIL midentity Control-Center-Software. Sie können bestimmen, ob sich die PIN aus Zahlen, Buchstaben oder aus einer Kombination dieser zusammensetzt. Sie muss jedoch einer Länge zwischen 6 und 16 Zeichen entsprechen. Das gleiche gilt für die PUK. Im Unterschied zur PIN können Sie die PUK automatisch generieren lassen. Dies hat den Vorteil, dass die PUK sehr sicher gewählt wird. Menschen neigen oft dazu, offensichtliche Zeichenfolgen (z.b.: Geburtsdatum) zu wählen. Da Sie die PUK zum Entsperren einer PIN benötigen, ist es sehr wichtig, dass Sie sich die PUK entweder sehr gut merken, was relativ schwierig ist, da man die PUK nur sehr selten benötigt, oder Sie hinterlegen diese an einem sicheren Ort (Bsp.: Tresor). Zu diesem Zweck haben Sie die Möglichkeit, die PUK auszudrucken (siehe Abbildung 3.5). 13

15 Abbildung 3.5: Festlegung von PIN und PUK / Anzeigen und drucken der PUK 2. Erzeugen eines Zertifikats zur Verschlüsselung: Zur Verschlüsselung Ihrer geheimen Daten werden Zertifikate verwendet. Befindet sich auf Ihrer Karte noch kein Zertifikat, haben Sie die Möglichkeit, ein Zertifikat anzulegen (selbstsigniertes Zertifikat), oder Sie können ein bereits bestehendes Zertifikat im PKCS#12-Format auf die Karte importieren. Zusätzlich können Sie einen ADK festlegen (siehe Abschnitt 5.4). 14

16 Abbildung 3.6: Erzeugen eines eigenen Zertifikates Möchten Sie ein Zertifikat selbst erstellen und dieses gleichzeitig zum sicheren Mailaustausch verwenden, so ist es notwendig, einige persönliche Angaben zu machen, die im Zertifikat gespeichert werden. Abbildung 3.7: Erzeugen eines eigenen Zertifikates 3. Zuordnung eines Zertifikats zur Datensafe- bzw. Simple Sign-On-Funktionalität: Es ist möglich, mehrere Zertifikate auf dem KOBIL midentity zu verwalten. Aus diesem Grund können Sie bestimmen, welches Zertifikat zur Verschlüsselung der Datensafe- bzw. Simple Sign-On - Daten verwendet werden soll. Haben Sie nur ein Zertifikat auf der Karte, wird dieses automatisch verwendet. 15

17 Abbildung 3.8: Zuordnung eines Zertifikates Wählen Sie eines der angezeigten Zertifikate von Ihrem KOBIL midentity aus. Abbildung 3.9: Auswahl eines Zertifikates Nach der Auswahl zeigt Ihnen der Assistent an, ob der Vorgang erfolgreich war. 16

18 Abbildung 3.10: Abschließende Meldungen Besonderheiten der T-TeleSec E4 NetKey Card der T-Systems Einige von KOBIL midentity unterstützte SmartCard s verhalten sich im Auslieferungszustand etwas anders, als die standardmäßig im Lieferumfang enthaltene Karte. So gibt es zum Beispiel bei einer E4 NetKey Card eine Transport- oder auch Null-PIN. Dies bedeutet, dass bei Erhalt der Karte bereits eine PIN gesetzt ist. Eine Transport- oder auch Null-PIN ist eine sechsstellige PIN, vorbelegt mit Nullen. Diese muss bei der ersten Benutzung durch eine individuelle, vom Benutzer ausgewählten PIN ersetzt werden. Eine weitere Besonderheit stellt die sogenannte epuk dar. Mit einer epuk bezeichnet man eine PUK, die bereits bei der Herstellung der Karte elektronisch berechnet und auf der Karte abgespeichert wird. Um Kenntnis über diese epuk zu erlangen, muss der Benutzer seine PIN eingeben, um die epuk auslesen zu können. Initialisierung einer E4 NetKey Card Wenn Sie Ihren midentity das erste Mal mit einer neuen E4 NetKey Card benutzen, wird die Software beim Stecken des midentity automatisch erkennen, dass diese Karte noch im Transport- oder auch Null-PIN-Status ist. Sie werden daraufhin aufgefordert, eine neue PIN festzulegen. Diese neue PIN müssen Sie zur Sicherheit zweimal eingeben. Zusätzlich haben Sie während diesen Vorgangs die Möglichkeit, sich Ihre epuk anzuzeigen oder auch ausdrucken zu lassen. Sollten Sie sich die epuk beim Initialisierungsvorgang nicht gemerkt haben, können Sie diese auch noch im laufenden Betrieb auslesen. Gehen Sie dazu unter Einstellungen > Identität > midentity Smart Card und betätigen Sie den Button epuk auslesen. Bei diesem Vorgang werden Sie dazu aufgefordert, Ihre PIN einzugeben. Zusätzlich haben Sie hier auch nochmals die Möglichkeit, die epuk auszudrucken. Beide Buttons sind nur dann aktiv, wenn es sich bei der eingelegten Karte um eine E4 NetKey Card handelt. Die Kenntnis über Ihre epuk ist vor allem deshalb wichtig, da Sie Ihre epuk benötigen, um zum Beispiel Ihre PIN zu entsperren (siehe Abschnitt 3.3.4). 17

19 Abbildung 3.11: Einstellungen zur KOBIL midentity SmartCard - epuk auslesen/drucken WICHTIG: Wenn Sie sich die epuk ausdrucken lassen, bewahren Sie diesen Ausdruck unbedingt an einem sicheren und für niemanden zugänglichen Ort auf! Was passiert, wenn ich die falsche PIN eingebe? Falls Sie die Karten-PIN dreimal hintereinander falsch eingeben, so wird die KOBIL midentity SmartCard aus Sicherheitsgründen gesperrt. Dadurch wird die SmartCard vor dem Zugriff unbefugter Personen geschützt. Nach der Eingabe einer falschen PIN überlegen Sie also bitte gut, bevor Sie den zweiten oder dritten Versuch unternehmen. Eine gesperrte Karten- PIN kann - ähnlich wie bei Mobiltelefonen - durch die PUK wieder entsperrt werden. Lesen Sie dazu bitte Abschnitt Wenn jedoch auch die PUK dreimal falsch eingegeben wurde, ist die KOBIL midentity SmartCard unwiderruflich gesperrt. In diesem Fall muss sie durch eine neue SmartCard ersetzt werden, die Sie über authorisierte KOBIL Partner beziehen können. Um dann auf verschlüsselte Daten wieder zugreifen zu können, lesen Sie bitte in Abschnitt 5.4 nach Änderung/Entsperrung der PIN Ihrer KOBIL midentity SmartCard Sie können die PIN der KOBIL midentity SmartCard über die Einstellungen der Control Center Software ändern und entsperren. Wählen Sie in der Control Center Software die Option 18

20 Einstellungen... > Identität und klicken Sie zur Änderung der PIN Ihrer KOBIL midentity SmartCard in der Karteikarte Karte auf PIN ändern und geben Sie anschließend die alte sowie zweimal die neue PIN ein. Abbildung 3.12: Einstellungen zur KOBIL midentity SmartCard - PIN ändern/entsperren Falls die PIN Ihrer KOBIL midentity SmartCard gesperrt ist, weil Sie diese zu oft falsch eingegeben haben, so können Sie die PIN mit Hilfe der PUK (PIN Unblocking Code) entsperren, wie Sie es von Mobiltelefonen her kennen. Klicken Sie dazu auf den Button PIN freischalten und geben Sie die PUK und anschliessend zweimal die neue PIN der Karte ein. 3.4 Digitale Zertifikate Ihre KOBIL midentity SmartCard kann aber noch viel mehr als nur Passwörter und Simple Sign-On Informationen abzuspeichern. Es handelt sich um eine vollwertige Krypto - SmartCard, die auch mit Digitalen Zertifikaten (PKI-Technik) umgehen kann. In diesem Abschnitt lernen Sie, was ein Digitales Zertifikat ist, woher Sie ein solches Zertifikat bekommen und was Sie damit anfangen können. 19

21 3.4.1 Was ist ein Digitales Zertifikat? Digitale Zertifikate sind elektronische Personalausweise, sie können als digitale Identität benutzt werden. Dies ist in Netzwerken und im Internet sehr sinnvoll, da Sie Ihren Kommunikationspartner nicht von Angesicht zu Angesicht sehen. Genau wie in Ihrem Personalausweis steht in einem Digitalen Zertifikat Ihr Name und ggf. weitere Informationen über Sie sowie nähere Informationen zum Einsatz des Zertifikats, z.b. zur Anmeldung in Netzwerken, zur Verschlüsselung oder zum Einkauf von Waren. Details über den genauen Inhalt von Zertifikaten finden Sie in Abschnitt A.3.4. Es gibt auch eine spezielle Art von Zertifikaten, die sogenannten Selbst-Signierten Zertifikate. Diese Zertifikate werden nicht von einem Trustcenter ausgestellt, sondern jeder Benutzer kann sich selbst solch ein Zertifikat erstellen. Diese Art der Zertifikatserstellung kommt gänzlich ohne Infrastruktur aus und ist daher sehr einfach nutzbar, bietet aber nicht die Sicherheit der Identifikation von Trustcenter-Zertifikaten. Selbstsignierte Zertifikate kommen in KOBIL midentity bei der Verschlüsselung der Datensafes zum Einsatz. Hier bergen Sie kein Sicherheits-Risiko, da sie nicht zur Kommunikation mit anderen Benutzern eingesetzt werden, sondern nur zum Zugriff auf lokale und mobile Datensafes (siehe Abschnitt 5.2). Darüber hinaus können Sie für die einfache Datei-Verschlüsselung genutzt werden Woher bekomme ich mein Zertifikat? Es gibt eine ganze Reihe von Möglichkeiten, KOBIL midentity mit Zertifikaten auszustatten, die für die unterschiedlichsten Einsatz-Umgebungen geeignet sind. Hier erhalten Sie einen Überblick über die Möglichkeiten: Selbst erstellte Zertifikate Den einfachsten Weg zum Zertifikat erhalten Sie über die Datensafes, denn hier wird automatisch für Sie ein selbst-signiertes Zertifikat erstellt. Sie erkennen dies an der Seriennummer im Windows Zertifikatsmanager, z.b Sobald Sie zum ersten Mal einen Datensafe benutzen (egal, ob auf KOBIL midentity oder auf der lokalen Festplatte), wird dafür im Hintergrund ein selbst-signiertes Zertifikat erstellt und auf der KOBIL midentity SmartCard sicher abgespeichert. Sie können es in den Einstellungen Zertifikate auf der KOBIL midentity SmartCard betrachten. Betrieb eines eigenen Trustcenters Wenn Sie eine eigene Public Key Infrastruktur (PKI) aufbauen möchten und sich nicht an ein externes Trustcenter anschliessen möchten (siehe nächster Abschnitt), dann benötigen Sie ein eigenes Trustcenter. Die passende Server-Software dazu kommt beispielsweise mit dem Windows 2000 oder Windows 2003 Server (siehe auch Abschnitt 4.2). Sie können jedoch auch spezielle Trustcenter-Lösungen wie z.b. den KOBIL midentity Manager erwerben, der sich auf Ihre individuelle Umgebungen anpassen lässt. Externe Trustcenter Sie können auf KOBIL midentity auch Zertifikate von externen Trustcentern speichern. Gehen Sie dazu vor wie folgt: 1. Starten Sie den Internet Explorer 2. Geben Sie die URL eines Trustcenters Ihres Vertrauens ein, beispielsweise: TeleSec-Trustcenter (Deutschland): 20

22 TC Trustcenter (Deutschland): Verisign (USA): 3. Die meisten Trustcenter bieten kostenloste Testzertifikate an, auch Digital ID s genannt. Beachten Sie jedoch, daß solche Testzertifikate kein hohes Sicherheitsniveau bieten. 4. Nun müssen Sie einige Daten eingeben, die später in Ihr Zertifikat aufgenommen werden (die Angaben können je nach Trustcenter unterschiedlich sein). Meist sind es einige persönliche Daten wie Ihr Name und Ihre -Adresse. Es ist extrem wichtig, daß die angegebene -Adresse exakt mit der Ihres -Kontos übereinstimmt (auch Gross-/Kleinschreibung!), da Sie das Zertifikat ansonsten nicht verwenden können! 5. Als Name des CSP s, der die Schlüssel erzeugen soll, müssen Sie Kobil Smart CSP v1.0 auswählen. 6. Schicken Sie Ihren Zertifikatsantrag an das Trustcenter ab. In der Regel müssen Sie dazu nur auf den Abschicken- bzw. Submit-Button klicken. Abbildung 3.13: Auswahl des Zertifikatsspeichers auf der KOBIL midentity SmartCard Abbildung 3.13 zeigt die Auswahl des Zertifikatsspeichers auf der Karte. Hier können Sie entscheiden, ob das neue Zertifikat auf einen leeren Speicher geschrieben werden soll (es kommt also zu bestehenden Zertifikaten hinzu) oder ob ein bestehendes Zertifikat überschrieben werden soll. Letzteres kann sinnvoll sein, wenn ein abgelaufenes Zertifikat verlängert wird. Wichtig: Bitte überschreiben Sie niemals das selbstsignierte Zertifikat im ersten Zertifikatsspeicher, da dieses benötigt wird, um den Datensafe zu öffnen! 7. Das Trustcenter wird Ihnen i.d.r. eine mit Informationen zusenden, wie Sie Ihr fertiges Zertifikat abholen können. In manchen Fällen steht das Zertifikat schon auf der nächsten Web-Seite zum Download bereit. 8. Folgen Sie nun den Instruktionen des Trustcenters, um Ihr neues Zertifikat zu istallieren. Dabei wird das Zertifikat sowohl auf Ihre KOBIL midentity SmartCard geschrieben als auch automatisch bei der Windows-Zertifikatsverwaltung angemeldet. 21

23 9. Schauen Sie sich Ihr neues Zertifikat im Windows-Zertifikatsmanager an wie in Abschnitt beschrieben. Falls das Zertifikat nicht gültig ist, weil das Zertifikat aufgrund mangelnder Informationen nicht bestätigt werden kann, müssen Sie noch das Root-Zertifikat Ihres Trustcenters importieren, da es noch nicht im Windows- Zertifikatsmanager vorhanden ist. Lesen Sie hierzu bitte Abschnitt Abbildung 3.14: Zertifikatsantrag der T-Telesec CA Import von vorhandenen Zertifikaten auf die KOBIL midentity SmartCard Sie können bereits vorhandene Software-Zertifikate auch auf Ihre KOBIL midentity SmartCard importieren. Lesen Sie dazu in Abschnitt nach. 22

24 3.4.3 Der Windows-Zertifikatsmanager Der Windows-Zertifikatsmanager ist die zentrale Anlaufstelle in Windows für alle Zertifikate. Er kann auf drei Arten gestartet werden: 1. Aus der Systemsteuerung über das Panel Internetoptionen > Inhalt > Zertifikate 2. Aus dem Internet Explorer über das Menü Extras > Internetoptionen > Inhalt > Zertifikate 3. Aus Outlook heraus über das Menü Extras > Optionen > Sicherheit > Digitale ID s Abbildung 3.15: Der Windows-Zertifikatsmanager In allen drei Fällen erscheint der Windows-Zertifikatsmanager (siehe Abbildung 3.15). Hier sind alle Zertifikate zentral abgespeichert, sowohl die eigenen, zu denen Sie den passenden privaten Schlüssel besitzen, als auch die Zertifikate anderer Personen. Außerdem sind hier die Wurzelzertifikate der Zertifizierungsstellen registriert. Alle Zertifikate können hier betrachtet werden, indem man das betreffende Zertifikat auswählt und auf den Button Eigenschaften klickt (siehe Abbildung 3.16). Wichtig ist hier der sogenannte Zertifizierungspfad, der anzeigt, von welchem Trustcenter das Zertifikat ausgestellt worden ist. Wenn ein Zertifikat als ungültig angezeigt wird, kann man hier meist den Grund dafür erkennen. 23

25 Abbildung 3.16: Detailansicht eines Zertifikats Außerdem kann der Windows Zertifikatsmanager Zertifikate löschen und in Dateien exportieren. Wenn Sie ein KOBIL midentity dort löschen, wird es nur bei Windows abgemeldet, d.h. es ist unsichtbar. Es ist jedoch nicht gelöscht, da es weiterhin auf Ihrer KOBIL midentity SmartCard existiert und wird beim nächsten Einstecken von KOBIL midentity wieder automatisch angemeldet. Beim Export eines auf Ihrer KOBIL midentity SmartCard gespeicherten Zertifikats wird der private Schlüssel natürlich nicht mit exportiert. Wenn Sie ein Zertifikat endgültig von Ihrer KOBIL midentity SmartCard löschen wollen, lesen Sie bitte in Abschnitt nach Import eines neuen Trustcenter-Zertifikates Wenn Sie ein neues Trustcenter kennenlernen, um sichere Kommunikation mit den Benutzern dieses Trustcenters zu betreiben, müssen Sie das Trustcenter-Zertifikat (auch Wurzelzertifikat oder Rootzertifikat genannt) dieses Trustcenters importieren. Wenn das bisherige Trustcenter ein neues Wurzelzertifikat herausgibt, weil das alte Wurzelzertifikat abgelaufen ist, müssen Sie dieses ebenfalls importieren. 1. Surfen Sie mit Ihrem Browser auf die Web-Seiten Ihres Trustcenters bzw. des neuen Trustcenters. 2. Laden Sie das neue Trustcenter-Zertifikat herunter, auch Wurzelzertifikat oder Root-Zertifikat genannt. 3. Das Zertifikat wird angezeigt mit dem Hinweis, daß es sich noch nicht in der Liste der vertrauenswürdigen Stammzertifizierungsstellen befindet. 24

26 4. Klicken Sie auf Zertifikat installieren. 5. Die folgenden Dialoge können Sie einfach mit weiter bestätigen. 6. Am Ende des Vorgangs wird eine Dialogbox angezeigt, die Sie dazu auffordert, den Fingerabdruck des neuen Zertifikats zu überprüfen. Diesen Fingerabdruck sollten Sie auf einem unabhängigen Weg besorgen, z.b. auf dem Briefpapier des Trustcenters oder auf den Webseiten. Beachten Sie bitte, daß Sie durch den Import eines Trustcenter-Zertifikates automatisch ein Vertrauensverhältnis zu allen Benutzern dieses Trustcenters eingehen! Informieren Sie sich daher vorher über die Zertifizierungspolitik dieses Trustcenters. Nach dem erfolgreichen Import eines Trustcenter-Zertifikats finden Sie dieses im Windows-Zertifikatsmanager entweder unter Zwischenzertifizierungsstellen oder unter vertrauenswürdige Stammzertifizierungsstellen (siehe Abschnitt 3.4.3) Import von Zertifikaten anderer Benutzer Bevor Sie eine verschlüsselte an einen anderen Benutzer versenden können, benötigen Sie dessen Zertifikat. Das kann auf zwei Wegen geschehen: 1. Sie bitten den anderen Benutzer, Ihnen eine signierte zu schicken. Darin enthalten ist dessen Zertifikat. 2. Sie können das Zertifikat des Benutzers auch über einen sogenannten Verzeichnisdienst abrufen. 3. Das Zertifikat des des anderen Benutzers speichern Sie in Ihrem Zertifikatsspeicher ab. Outlook Express In Outlook Express wählen Sie dazu das Menü Bearbeiten > Suchen > Personen Outlook 98 / 2000 / xp / 2003 In Outlook klicken Sie Personen suchen unter Extras > Adreßbuch Abbildung 3.17 zeigt den entsprechenden Dialog für alle Outlook-Versionen. Sie können als Suchkriterien den Namen oder die adresse des Empfängers angeben. Um die Suche zu starten, klicken Sie auf Suchen. Sie müssen unter Umständen noch den richtigen Verzeichnisdienst in der Auswahlbox Suchen in auswählen. Falls der von Ihnen gewünschte Verzeichnisdienst nicht auswählbar ist, müssen Sie diesen ggf. noch von Hand einrichten. Lesen Sie dazu bitte in Abschnitt nach. Nach dem erfolgreichen Import eines Benutzer-Zertifikats finden Sie dieses im Windows-Zertifikatsmanager unter Andere Personen (siehe Abschnitt 3.4.3). 25

27 Abbildung 3.17: Suchen von Zertifikaten über einen Verzeichnisdienst Einrichten eines neuen Verzeichnisdienstes Ein Verzeichnisdienst dient dazu, Zertifikate anderer Benutzer automatisch zu suchen. Um einen neuen Verzeichnisdienst zu konfigurieren, gehen Sie bitte vor wie folgt: 1. Wählen Sie in Outlook das Menü Extras > Konten und wählen Sie die Karteikarte Verzeichnisdienst wie in Abbildung 3.18 zu sehen. 26

28 Abbildung 3.18: Einrichtung eines Verzeichnisdienstes 2. Wählen Sie den Button Hinzufügen > Verzeichnisdienst... Daraufhin wird ein Assistent gestartet, der Sie durch die Installation des neuen Verzeichnisdienstes leitet. Die notwendigen Angaben zu Ihrem Verzeichnisdienst erfragen Sie bitte bei Ihrem System-Administrator: Verzeichnisdienst-Server: Dies ist die Adresse des Servers des neuen Verzeichnisdienstes. Anmeldung erforderlich: Wenn diese Auswahlfläche aktiv ist, müssen Sie im nächsten Schritt einen Benutzernamen und ein Kennwort für die Anmeldung angeben. In der Regel wird diese Option nicht genutzt. Überprüfung der Adressen mit diesem Verzeichnisdienst durchführen: Aktivieren Sie diese Schaltfläche, damit über diesen Verzeichnisdienst automatisch nach Zertifikaten von -Empfängern gesucht wird. 3. Nun kann es u.u. noch notwenig sein, die Suchbasis dieses Verzeichnisdienstes einzustellen. Wählen Sie dazu nochmals den neu eingerichteten Verzeichnisdienst aus und klicken Sie auf Eigenschaften. Unter der Karteikarte Erweitert können Sie die Suchbasis eintragen. Die notwendigen Angaben zu Ihrem Verzeichnisdienst erfragen Sie bitte bei Ihrem Systemverwalter. Sie können auch einen Verzeichnisdienst für die automatische Suche nach Zertifikaten von -Empfängern auswählen, indem Sie für den betreffenden Verzeichnisdienst im Menü Extras > Konten > Verzeichnisdienst > Eingenschaften die Option Empfängernamen mit diesem Verzeichnisdienst überprüfen einschalten Import von vorhandenen Zertifikaten auf Ihre KOBIL midentity SmartCard Vorhandene Software-Zertifikate 1 inklusive privater Schlüssel können Sie auf Ihre KOBIL midentity SmartCard laden. 1 als Software-Zertifikat bezeichnet man ein Zertifikat, das nicht auf einer SmartCard gespeichert wird und daher eine geringere Sicherheits-Stufe besitzt. 27

29 Das Software-Zertifikat kann aus dem Windows-Zertifikatsmanager auf Ihre KOBIL midentity SmartCard importiert werden, falls dieses dort als exportierbar registriert wurde. Wählen Sie in der Control Center Software die Option Einstellungen... > Identität und klicken Sie in der Karteikarte Karte auf importieren. Falls Ihr Software-Zertifikat nur als PKCS#12-Datei (mit der Endung.p12 ) vorliegt, importieren Sie diese bitte zuerst in den Windows- Zertifikatsmanager durch einen Doppelklick. Befolgen Sie dann die Anweisungen des Windows-Zertifikatsmanagers zum Import und wählen Sie die Option als exportierbar markieren. Aus Sicherheitsgründen wird das Software-Zertifikat nach dem Import auf Ihre KOBIL midentity Smart- Card aus dem Windows-Zertifikatsmanager gelöscht und ist danach nur noch über die KOBIL midentity SmartCard nutzbar. Je nach Ihrer Konfiguration ist diese Funktion unter Umständen deaktiviert, dies ist abhängig von der eingesetzten Chipkarte. Abbildung 3.19: Einstellungen zur KOBIL midentity SmartCard 28

30 3.4.7 Wechsel eines Zertifikates Es gibt verschiedene Gründe warum man ein Zertifikat austauschen will. Einer der häufigsten wird der sein, dass ein Zertifikat abläuft und deshalb durch ein neues ersetzt werden soll. Natürlich kann es auch andere Gründe geben wie z.b. Abteilungswechsel oder Änderung der -Adresse. In jedem Fall gehen Sie zum Wechsel des Zertifikates wie folgt vor: 1. Wählen Sie in der Control Center Software die Option Einstellungen... > Identität Abbildung 3.20: Einstellungen zu den KOBIL midentity Zertifikaten und wählen Sie in der Karteikarte KOBIL midentity Zertifikate das betreffende Zertifikat, welches Sie ersetzen wollen, aus und klicken Sie auf Löschen. Information: Sollte die Schaltfläche zum Löschen deaktiviert sein, kontaktieren Sie Ihren System-Administrator. 29

31 2. Es erscheint der Initialisierungsassistent der Sie bei den nächsten Schritten unterstützen wird. Abbildung 3.21: Austausch eines Zertifikates 3. Im folgenden Schritt können Sie entscheiden, mit welchem Zertifikat Sie das bisherige ersetzen wollen. Zu diesem Zweck können Sie ein Zertifikat neu erzeugen, ein bereits auf der Karte vorhandenes Zertifikat verwenden oder ein Zertifikat neu importieren. Abbildung 3.22: Auswahl des neuen Zertifikates 4. Nachdem Sie sich für ein neues Zertifikat entschieden haben, werden Ihre geheimen Daten mit diesem umverschlüsselt. 30

32 Erst nachdem dieser Vorgang erfolgreich abgeschlossen wurde, wird das alte Zertifikat gelöscht. ACHTUNG: Verschlüsselte Daten die zu diesem Zeitpunkt nicht erreichbar sind (Bsp: Netzwerk- Datensafe) können nicht umverschlüsselt werden und sind danach NICHT mehr brauchbar! Abbildung 3.23: Zertifikat wurde erfolgreich ausgetauscht 31

33 3.4.8 Löschen von Zertifikaten von Ihrer KOBIL midentity SmartCard Abbildung 3.24: Einstellungen zu den Zertifikaten auf der KOBIL midentity SmartCard Achtung! Seien Sie sehr vorsichtig beim Löschen von Zertifikaten, da Sie Datensafes, Nachrichten, Dateien und Verzeichnisse, die mit diesem Zertifikat verschlüsselt wurden, danach nicht mehr entschlüsseln können! Insbesondere der erste Slot speichert das Zertifikat für die Datensafes ab, ohne das Sie keinen Zugriff auf Datensafes haben! Wählen Sie in der Control Center Software die Option Einstellungen... > Identität und wählen Sie in der Karteikarte Zertifikate das betreffende Zertifikat aus und klicken Sie auf Löschen. Wenn es sich bei dem ausgewählten Zertifikat um das gleiche handelt mit dem Sie auch Ihre SSO-Daten bzw. Ihre Datensafes verschlüsselt haben, wird der Wizard erscheinen und Sie dazu auffordern ein neues festzulegen (siehe Kapitel 3.4.7). 32

34 Je nach Ihrer Konfiguration ist die Möglichkeit zum Löschen von Zertifikaten unter Umständen aus Sicherheitsgründen deaktiviert. Falls Sie diese Option aktivieren möchten, so wenden Sie sich bitte an Ihren zuständigen Administrator. 3.5 KOBIL midentity Personalisierung KOBIL midentity ist sofort einsatzbereit und kann vom Benutzer im Feld personalisiert werden, in dem Passwörter angelernt werden (siehe Abschnitt 4.1.3) und Zertifikate beantragt werden (siehe Abschnitt 3.4.2). Damit ist KOBIL midentity überall dort sofort einsetzbar, wo keine Infrastrukuren vorhanden sind oder wo Einzel-Benutzer arbeiten. In grösseren Organisationen mit vorhandener Infrastruktur ist dies jedoch nicht besonders praktikabel. Für dieses Einsatzgebiet bietet KOBIL Ihnen Administrations-Tools und Server-Umgebungen passend zu KOBIL midentity an. Nähere Informationen hierzu finden Sie bei Ihrem KOBIL Partner oder im Internet unter Software Updates Die KOBIL midentity Control Center Software wird ständig weiterentwickelt und um neue Funktionen erweitert. Um auf dem aktuellsten Stand zu bleiben, besuchen Sie von Zeit zu Zeit Dort können Sie Software-Updates herunterladen und finden weitere Tipps und Anregungen rund um Ihren KOBIL midentity. 33

35 Kapitel 4 Ihre mobile Identität KOBIL midentity ist Ihre elektronische Identität, die Sie immer bei sich tragen können und überall und jederzeit nutzen können, um sich auszuweisen - Ihr persönlicher digitaler Personalausweis! Je nach Anwendung gibt es verschiedene Techniken, die dazu genutzt werden: statische Passwörter, Einmal-Passwörter (One Time Passwords, OTP), Simple Sign-On (SSO), Zertifikate usw. In diesem Abschnitt lernen Sie die verschiedenen Techniken kennen und erfahren, wie Sie diese mit KOBIL midentity nutzen können, um Ihre mobile Identität zu realisieren. 4.1 Passwörter und Simple Sign-On (SSO) Passwörter sind heutzutage aus der IT-Welt nicht mehr wegzudenken. Bei Web-Mail, Netzwerkzugang, VPN-Verbindungen und vielen Applikationen wird die Benutzerverwaltung über Passwörter geregelt. Das führt dazu, dass man sich eine Vielzahl von Passwörtern merken muss oder überall das gleiche Passwort gewählt wird, was wiederum zwangsweise zu Sicherheitsrisiken führt. Auch der berühmte Stick-it Merkzettel mit den Passwörtern am Monitor birgt erhebliche Gefahren. Mit KOBIL midentity können Sie Ihre Passwörter getrost vergessen - denn sie sind hochsicher, geschützt durch SmartCard Technologie, auf Ihrem KOBIL midentity abgelegt. Statt vieler Passwörter müssen Sie sich nur noch die PIN der KOBIL midentity SmartCard merken - sie ist der Schlüssel zu all Ihren Passwörtern und Zugangsberechtigungen Was ist Simple Sign-On (SSO)? Simple Sign-On (SSO) ist eine Technik, mit der Anmelde-Prozeduren für Benutzer und Administratoren gleichermassen vereinfacht werden. Benutzer müssen sich nur einmal authentifizieren und können dann die verschiedensten Dienste nutzen, ohne sich jedesmal neu anmelden zu müssen. Administratoren können die Benutzerkonten zentral verwalten und müssen sich nicht darum kümmern, für jede Anwendung und für jeden Dienst die Benutzerkonten mehrfach zu führen. Durch die Ablage von Anmeldedaten in der KOBIL midentity SmartCard brauchen Sie sich nur noch die PIN der KOBIL midentity SmartCard zu merken - sie schützt alle Ihre Anmeldedaten. KOBIL midentity erkennt automatisch die Anmeldemasken und trägt Usernamen und Passwort automatisch für Sie ein. Dies wird gleichermassen für HTML-Seiten (Web- Formulare) wie für Windows Dialogboxen (z.b. Netzwerk-Anmeldung) unterstützt. Sie können neben statischen Passwörtern auch Einmal-Passwörter mit KOBIL midentity verwalten. Dafür benötigen Sie zusätzlich den KOBIL SecOVID Server als zentralen Authentifikations-Server, mit dem echtes Simple Sign-On auch für den Administrator möglich wird - zum attraktiven Preis im Vergleich mit herkömmlichen SSO-Systemen. 34

36 4.1.2 Bedienung des Simple Sign-On - Überblick Die folgenden Tastenkombinationen ermöglichen Ihnen ein komfortables Arbeiten mit KOBIL midentity, wenn Sie sich künftig komfortabel und sicher in Ihren Applikationen anmelden möchten: ALT-F11: Wenn sich Ihr KOBIL midentity einen Passwortdialog merken soll, so leiten Sie (bei durch Mausklick aktiviertem Anmeldefenster) durch Drücken von ALT-F11 den hierzu notwendigen Lernvorgang ein. Details entnehmen Sie bitte dem Abschnitt ALT-F10: Normalerweise erkennt KOBIL midentity erlernte Passwortdialoge wieder, macht Sie darauf aufmerksam, und Sie müssen nur durch Klick auf den Anmelde-Button bestätigen, dass KOBIL midentity Sie anmelden soll. In manchen Situationen (z.b. beim Arbeiten mit Terminal-Konsolen, siehe Abschnitt 4.1.4) weiß KOBIL midentity allerdings nicht, welcher der erlernten Passwortdialoge zu verwenden ist. Durch Drücken von ALT-F10 (bei durch Mausklick aktiviertem Anmeldefenster) erhalten Sie die Liste der erlernten Passwortdialoge und können den gewünschten Passworteintrag auswählen. ALT-F12: In manchen Situationen erkennt KOBIL midentity erlernte Passwortdialoge nicht. Neben der Möglichkeit, ALT-F10 zu drücken (siehe oben) veranlassen Sie KOBIL midentity durch Drücken von ALT-F12 dazu, nochmals alle offenen Fenster daraufhin zu überprüfen, ob es sich um einen bereits erlernten Passwortdialog handelt. Erweiterte Einstellungen für Simple Sign-On Da die Simple Sign-On Lösung stark vom verwendeten System und dessen Konfiguration abhängig ist, gibt es für diesen Programmteil erweiterte Einstellungen, um eventuelle Probleme zu umgehen. Um in die erweiterten Einstellungen zu gelangen, wählen Sie in der Control Center Software die Option Einstellungen... > Identität 35

37 Abbildung 4.1: Einstellungen für Simple Sign-On In der Karteikarte Passwörter gibt es die Schaltfläche erweiterte Einstellungen. Nachdem Sie diese Schaltfläche angeklickt haben, öffnet sich ein Dialog, indem Sie folgende Einstellungsmöglichkeiten haben: 36

38 Abbildung 4.2: Erweiterte Einstellungen für Simple Sign-On Anlernen 1. IE: autom. Erkennen des Elements zum Anmelden: Die SSO sucht automatisch nach dem Element welches die Anmeldung auslöst (in der Regel ein Button). Deaktivieren Sie diese Funktion, können Sie beim Anlernen das Element selbst angeben. 2. Beschreibung nach dem Anlernen anbieten: Nach dem Anlernen einer neuen Applikation oder WEB-Seite können Sie einem Namen festlegen, unter dem dieses Konto gespeichert wird. Deaktivieren Sie diesen Punkt, werden die Konten automatisch benannt. Dynamische Einstellungen 1. Autom. Erkennung von angelernten Fenstern: Wird ein angelerntes Fenster geöffnet, versucht die SSO Sie automatisch anzumelden. 2. Autom. Erkennung von anlernbaren Paßwortfenstern: Wird ein Fenster geöffnet welches ein Paßwortfeld beinhaltet, bietet die SSO Ihnen an, dieses Fenster automatisch anzulernen. 3. Schleifenerkennung: Die SSO kann so konfiguriert werden, dass immer wenn ein angelerntes Fenster erscheint, sofort eine Anmeldung erfolgt. Dies hat den Vorteil, dass Sie keine zusätzlichen Eingaben machen müssen. Ein Nachteil besteht darin, 37

39 dass in dem Fall, dass der Anmeldevorgang aus irgendeinem Grund fehlschlägt, die SSO in eine Endlosschleife fallen könnte und immer wieder versucht Sie anzumelden. Aus diesem Grund können Sie hier die Anzahl der Anmeldeversuche pro Zeiteinheit begrenzen. 4. Icon anzeigen: Es besteht die Möglichkeit in der Traybar ein extra Icon für die SSO einzublenden. Dieses Icon gibt Ihnen zum einen ein visuelles Feedback über die zur Zeit ausgeführten Aktion, zum anderen können Sie über den Kontext des Icons bestimmte Aktionen wie z.b. das Anlernen oder das Erkennen angelernter Fensterper per Maus auslösen. Dies ist dann sinnvoll, wenn aus irgendeinem Grund die Tastenkombinationen nicht funktionieren oder wenn die SSO angelernte Fenster nicht automatisch erkennt. Abbildung 4.3: zusätzliches Icon für die SSO Schaltflächen 1. Abbrechen: Die Einstellungen werden geschlossen ohne dass Veränderungen übernommen werden. 2. OK: Aktuelle Einstellungen übernehmen und beenden. 3. Hotkeys...: Verändern der Tastenkombinationen. 38

40 Abbildung 4.4: Tastenkombinationen ändern 4. Standard-Einstellungen: Auf Werkseinstellungen zurück setzen Anlernen von Anmeldedaten Zur zentralen Personalisierung von Anmeldedaten lesen Sie bitte Abschnitt 3.5. KOBIL midentity ermöglicht Ihnen aber auch, die Anmeldedaten ganz leicht selbst anzulernen. Dazu wird ein Assistent bereitgestellt, der Sie Schritt für Schritt durch den Lernvorgang führt. Nach Abschluss des Assistenten sind Ihre Anmeldedaten in KOBIL midentity abgespeichert und mit der PIN der KOBIL midentity SmartCard gesichert. Gehen Sie dazu bitte vor wie folgt: 1. Öffnen Sie die Anmelde-Maske, für die Sie Ihre Anmeldedaten auf KOBIL midentity abspeichern möchten, z.b. eine Web-Mail Applikation oder ein Windows Netzwerk-Anmeldedialog. 39

41 Abbildung 4.5: Eine anzulernende Anmelde-Maske 2. Drücken Sie die Tastenkombination ALT-F11. Dadurch wird der KOBIL midentity Passwort-Assistent gestartet: Abbildung 4.6: Der KOBIL midentity Passwort-Assistent 3. Klicken Sie mit der linken Maustaste auf ein Textfeld, das Sie anlernen möchten, wie z.b. den Benutzernamen (in diesem Beispiel das Feld Verbinden als der Windows Netzwerk-Anmeldung). Geben Sie dann im Dialogfeld unter Inhalt den Benutzernamen ein, den KOBIL midentity für Sie speichern soll. Abbildung 4.7: Anlernen des Benutzernamens Sie können auf diese Weise auch mehrere Felder ausfüllen, in dem Sie diesen Schritt mehrfach wiederholen. 40

42 4. Falls Sie auf ein Passwort-Feld klicken, erkennt KOBIL midentity dies automatisch und öffnet den Passwort-Dialog. Darüber können Sie entweder ein statisches Passwort eingeben oder einen KOBIL SecOVID Einmal-Passwort Generator auf Ihrer KOBIL midentity SmartCard auswählen. Abbildung 4.8: Anlernen des Passworts Abbildung 4.9: Anlernen des Passworts Bitte beachten Sie, dass für den Einsatz von Einmal-Passwörtern zusätzlich der KOBIL SecOVID Server benötigt wird. Bei Fragen zu den Einsatzmöglichkeiten des KOBIL SecOVID Servers wenden Sie sich bitte an Ihren zertifizierten KOBIL Partner oder direkt an 5. Klicken Sie auf die rechte Maustaste, um die Eingabe der Anmeldedaten abzuschliessen. Nun können Sie noch die Eingabe-Bestätigung festlegen, in dem Sie auf den OK Button der Eingabe klicken. Damit ist der Anlern-Prozess abgeschlossen. 41