Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails Outlook Express unter Windows 2000 (Kerstin Ehrhardt) München 07.05.2007 1
1 Besonderheiten beim Einsatz von Zertifikaten für Funktionsadressen...3 1.1 Vorbereitung des Mail-Clients...3 1.1.1 Berechtigungen...3 1.1.2 Erforderliche Zertifikate...3 2 Import von Zertifikaten...5 2.1 Vorbemerkung...5 2.2 Erhalt des Schlüsselmaterials...5 2.3 Import des Zertifikates...6 2.4 Der Schlüsselspeicher (im Internet-Explorer)...11 2.5 Verlängerung abgelaufener, Erneuerung widerrufener Zertifikate...12 2
1 Besonderheiten beim Einsatz von Zertifikaten für Funktionsadressen Die gängige Praxis bei Funktionsadressen (z.b. Poststelle, Personalreferat) ist, dass ein Mitarbeiter neben seinem persönlichen Postfach auch Zugriff auf das Postfach der Funktionsadresse hat und bei Bedarf mit der Funktionsadresse als Adresse des Absenders Nachrichten versendet. Je nach Ausstattung der Behörde kann es sein, dass jeder Mitarbeiter entweder von seinem eigenen PC auf das Postfach der Funktionsadresse zugreift, oder dass sich mehrere Mitarbeiter einen PC teilen, wobei sie sich entweder mit einer eigenen oder einer gemeinsamen Kennung am System anmelden. Unabhängig vom Zugriff auf das Postfach der Funktionsadresse soll der Benutzer auf sein persönliches Postfach zugreifen können und die persönliche Post mit seinen persönlichen Schlüsseln bearbeiten (signieren, entschlüsseln) können. Eingehende Post für eine Funktionsadresse soll entschlüsselt werden, abgehende Post der Funktionsadresse soll bei einer Verschlüsselung für den Empfänger auch für den Absender mit dem Verschlüsselungszertifikat der Funktionsadresse verschlüsselt werden. Die Zuordnung zum erforderlichen Verschlüsselungszertifikat hat hierbei automatisch zu erfolgen. Da bei Outlook 2000 bzw. Outlook XP kein Profil eingerichtet werden kann, bei dem nur ein Verschlüsselungszertifikat und kein Signaturzertifikat installiert ist, müssen auch für eine Funktionsadresse Signatur-Zertifikate eingesetzt werden. 1.1 Vorbereitung des Mail-Clients 1.1.1 Berechtigungen Der Benutzer des Postfachs einer Funktionsadresse benötigt eine Berechtigung, damit er auf das Postfach zugreifen und unter der Funktionsadresse Nachrichten versenden darf. Diese Berechtigung wird wie bisher am Mail-Server vergeben. 1.1.2 Erforderliche Zertifikate Für die Ver- bzw. Entschlüsselung ist ein Verschlüsselungszertifikat der Funktionsadresse erforderlich. Es wird von der Zertifizierungsstelle an den Verantwortlichen für die Funktionsadresse ausgeliefert und an den Arbeitsplätzen aller Mitarbeiter, die das Postfach der Funktionsadresse betreuen, installiert. Für die Signatur abgehender Nachrichten der Funktionsadresse müssen zwei grundlegende Fälle unterschieden werden: a) Die Signatur erfolgt mit dem Namen der Funktion unter der Funktionsadresse. Damit enthält das Signaturzertifikat (wie das Verschlüsselungszertifikat) die E-Mail- Adresse der Funktion und als Namen die Bezeichnung der Funktion (z.b. Poststelle, poststelle@xyz.bayern.de). Eine Signatur mit diesem Zertifikat stellt jedoch keine echte Ende-zu-Ende-Sicherheit dar, da im Zweifelsfalle nicht festgestellt werden kann, wer aus der Gruppe der Funktionsinhaber die Nachricht signiert hat. Das Signaturzertifikat wird zusammen mit dem Verschlüsselungszertifikat beantragt und an den Verantwortlichen für die Funktion ausgeliefert. Die Installation der beiden Zertifikate erfolgt auf jedem der PCs, die Zugriff auf das Postfach der Funktionsadresse haben (z.b. auch dann, wenn sich alle Mitarbeiter für die Betreuung des Postfaches an einem PC unter einer gemeinsamen Kennung am System anmelden). 3
b) Die Signatur erfolgt mit dem Namen des Funktionsinhabers unter der Funktionsadresse. Das Signaturzertifikat enthält die E-Mail-Adresse der Funktion und Vor- und Zunamen des Funktionsinhabers (z.b. Franz Mustermann, poststelle@xyz.bayern.de). Eine Signatur mit diesem Zertifikat macht sichtbar, dass im Namen der Funktion signiert wurde und welcher Mitarbeiter aus der Gruppe der Funktionsinhaber die Nachricht signiert hat. Für jeden Funktionsinhaber muss dazu ein eigenes Signaturzertifikat beantragt und zusammen mit dem gemeinsamen Verschlüsselungszertifikat am PC des Mitarbeiters installiert werden. Dabei ist es unerheblich, ob jeder Funktionsinhaber einen eigenen PC oder einen gemeinsamen PC mit eigener Kennung nutzt. Darüber hinaus kann jeder Inhaber einer Funktion auch noch Zertifikate für Signatur und Verschlüsselung beantragen und nutzen, die seine persönliche E-Mail-Adresse enthalten. 4
2 Import von Zertifikaten 2.1 Vorbemerkung Im Folgenden Abschnitt ist beschrieben, wie das erhaltene Schlüsselmaterial und die ausgestellten Zertifikate importiert werden. Wichtig: 1. Der nachfolgend beschriebene Ablauf zum Import des Schlüsselmaterials gilt für Outlook 2000, Outlook XP, Outlook 2003 sowie Outlook Express (5.5; 6.0) gleichermaßen. 2. Der Import des Schlüsselmaterials und der ausgestellten Zertifikate kann ohne weiteres von einem Administrator vorgenommen werden. Lediglich die Eingabe der PIN (und damit die Freischaltung der Schlüssel und Zertifikate) sollte vom Benutzer selbst vorgenommen werden. Kennt auch der Administrator die PIN zur Freischaltung der Schlüssel, ist er in der Lage, an den Benutzer gesandte vertrauliche Nachrichten einzusehen bzw. im Namen des Benutzers E-Mails zu unterschreiben. 2.2 Erhalt des Schlüsselmaterials Sie haben über das Zertifikatsverwaltungssystem icms Zertifikate beantragt und die Zertifikate und das Schlüsselmaterial per E-Mail erhalten. Da Sie für das Verfahren S/MIME zwei Zertifikate (eines für Verschlüsselung und eines für Signatur) beantragen müssen, erhalten Sie auch zwei E-Mails. Anschreiben: Sehr geehrte/r Herr Mustermann, im Anhang dieser E-Mail finden Sie das von Ihnen beantragte persönliche Verschlüsselungs- Zertifikat. Dieses Zertifikat ist mit einer PIN geschützt, die für Sie im Antragssystem zwischengespeichert wird. Bitte holen Sie sich diese PIN baldmöglichst ab. https://icms.pki.bayern.de -> Menüpunkt: Zertifikate anzeigen Beachten Sie beim Abholen, dass die PIN nach 24 Stunden aus dem Antragssystem gelöscht wird. Bei Bedarf können Sie diese Frist auf 14 Tage verlängern. Weitere Informationen zu diesem Thema können Sie auch dem Anwenderhandbuch des Antragssystems (ICMS) entnehmen. 5
https://www.pki.bayern.de -> Allgemeine Informationen -> Dokumente Diese E-Mail wurde automatisch generiert. Mit freundlichen Grüßen Ihr Trustcenter Anlagen: Die E-Mail beinhaltet Ihren privaten Schlüssel mit dem Dateinamen: enc_vorname_nachname.p12 (bei Verschlüsselungszertifikaten) bzw. sig_vorname_nachname.p12 (bei Signaturzertifikaten); wobei p12 einen Datei-Typ repräsentiert, der private Schlüssel für die Entschlüsselung von Nachrichten bzw. für das Unterschreiben von Nachrichten enthält. Speichern Sie die Anlage, welche Ihren privaten Schlüssel für die Entschlüsselung von Nachrichten bzw. für das Unterschreiben von Nachrichten enthält, entweder auf einer Diskette, oder, da z.b. Ihr Diskettenlaufwerk gesperrt ist, in einem nur Ihnen zugänglichen Bereich Ihrer Festplatte bzw. Netzwerkressource. Nachdem Sie den Zertifikatsimport abgeschlossen haben, können die Schlüsseldateien wieder gelöscht wird. Zusätzlich müssen Sie über das icms den zum Schlüssel gehörenden Transport-PIN abrufen, den Sie für die Installation Ihres Schlüsselmaterials brauchen. Beachten Sie: Weder den privaten Schlüssel noch den zugehörigen PIN dürfen Sie an Dritte (auch keine Administratoren) weitergeben. 2.3 Import des Zertifikates Um Ihr Schlüsselmaterial zu installieren gehen Sie wie folgt vor: Öffnen Sie den (Windows-) Explorer und wählen Sie das Verzeichnis, in das Sie nach Empfang der E-Mail die Anlagen gespeichert haben (ihre privaten Schlüssel; Dateien mit der Endung P12 bzw. vom Typ Privater Informationsaustausch). 6
Öffnen Sie den ersten Eintrag mit der Dateiendung P12 bzw. vom Typ Privater Informations- austausch mit Doppelklick; es meldet sich der Import-Assistent. (Falls dieser Import-Assistent sich nicht automatisch meldet, ist auf Ihrem PC die Dateiendung.p12 vermutlich mit einem anderen Programm verknüpft. Eine mögliche Lösung ist, die Datei mit der Endung.p12 in.pfx umzubenennen.) Klicken Sie auf Weiter. Ihr privater Schlüssel (Datei mit der Endung P12 bzw. PFX) ist unter Dateiname eingetragen. Klicken Sie auf Weiter. Im Folgenden werden Sie nach dem Kennwort gefragt; mit dem Ihre Schlüssel während des Transportes geschützt wurden. Das Kennwort ist die Transport- PIN, die Sie im icms abrufen müssen. Markieren Sie in diesem Fenster auch die beiden anderen Kontrollkästchen: Insbesondere wichtig ist die erste Option Verstärkte Sicherheit für den privaten Schlüssel aktivieren. Diese müssen Sie 7
aus Sicherheitsgründen auf jeden Fall wählen, denn dadurch stellen Sie sicher, dass Sie beim Versand signierter Nachrichten und beim Empfang verschlüsselter Nachrichten immer nach Ihrem Kennwort gefragt werden; anderen ist es somit ohne Kennwort unmöglich Ihren geheimen Schlüssel zu verwenden. Die zweite Option dient dazu, den Privaten Schlüssel als exportierbar zu markieren; dies bedeutet, dass Sie ihn bei Bedarf auf anderen Medien (z.b. Ersatz-PCs) übertragen können. Im nächsten Bildschirm aktivieren Sie Weiter. Es werden nun nochmals die Daten für den Import aufgelistet: Hier auf Fertig stellen klicken. 8
Da Sie die erhöhte Sicherheit gewählt haben, müssen Sie im Folgenden noch einige Einstellungen dazu machen; Die standardmäßig vorgegebene aktuelle Sicherheitsstufe ist Mittel; ändern Sie dies, indem Sie Sicherheitsstufe... wählen. Es erscheint das nachfolgende Fenster, in welchem Sie die Option Hoch auswählen und auf Weiter klicken. Unter der Rubrik Ein neues Kennwort für dieses Objekt erstellen geben Sie im Feld Kennwort für: eine frei wählbare Bezeichnung (z.b. eine Kombination aus - dem Verwendungszweck des Zertifikates (z.b. Signatur) - Ihrem Namen oder dem Funktionsstellennamen - dem Jahr der Zertifikatsausstellung) ein, die dann bei der Abfrage des Kennwortes angezeigt wird. Anschließend legen Sie Ihr eigenes, privates Kennwort fest und bestätigen es. Das Kennwort sollte mindestens acht Zei- 9
chen umfassen und für andere nicht zu erraten sein. Klicken Sie anschließend auf Fertig stellen. Klicken Sie auf OK. Bevor der Import-Assistent meldet, dass der Importvorgang erfolgreich war, kann je nach Art des importierten Zertifikats, die folgende Meldung erscheinen: Achten Sie darauf, dass der Antragsteller die PCA-1-Verwaltung-05 oder PCA-1-Verwaltung-06 oder PCA-1-Verwaltung-08 (akt.) der PKI-1-Verwaltung ist und überprüfen Sie den Fingerprint. Den richtigen Fingerprint können Sie auf den Webseiten des BSI (Link) abfragen. Klicken Sie abschließend auf Ja. Der Importvorgang ist beendet. Klicken Sie auf OK. Für den Import Ihres zweiten Schlüssels / Ihr zweites Zertifikat verfahren Sie genauso. An der Stelle, an der Sie die Sicherheitsstufe auf Hoch ändern und ein Kennwort vergeben, können Sie jetzt die gleiche Einstellung (Name, Kennwort) wie beim ersten Zertifikat verwenden. Sie können nun die am Anfang gespeicherten privaten Schlüsseldateien von Ihrer Festplatte oder Netzwerkressource wieder entfernen, da sie nicht mehr benötigt werden. 10
2.4 Der Schlüsselspeicher (im Internet-Explorer) Haben Sie Ihren/Ihre Schlüssel importiert, finden Sie diese auch im Internet Explorer unter dem Menüpunkt Extras Internetoptionen Inhalt Zertifikate. Gründe dafür, dass Sie mehrere unterschiedliche Zertifikate / Schlüssel benötigen, können sein: - Sie haben mehrere Funktionen inne. - Sie besitzen unterschiedliche Zertifikate für Verschlüsselung und Signatur. - Ihr altes Verschlüsselungszertifikat ist abgelaufen; um dennoch alte Mails lesen zu können, haben Sie es noch nicht entfernt und nutzen es noch neben dem Neuen. Sie können sich ein Zertifikat genauer ansehen, in dem Sie es markieren und auf Anzeigen klicken. Im Register Allgemein kann der Zertifikatsinhaber sowie der Gültigkeitszeitraum kontrolliert werden. 11
Im Register Details ist das Feld Schlüsselverwendung von besonderer Bedeutung. Hieraus kann man entnehmen, ob das Zertifikat für die Signatur (hier im Bild) oder für die Verschlüsselung eingesetzt wird. Im Register Zertifizierungspfad kann man kontrollieren, ob dem Zertifikat vertraut wird. In diesem Beispiel ist das der Fall. Ansonsten wären über den Zertifikatssym- bolen rote Kreuze. 2.5 Verlängerung abgelaufener, Erneuerung widerrufener Zertifikate Zertifikate, deren Gültigkeit abgelaufen ist, werden automatisch verlängert. Im Zuge der Zertifikatsverlängerung erhalten Sie auch ein neues Schlüsselpaar. Widerrufene bzw. gesperrte Zertifikate werden nicht automatisch neu ausgestellt oder verlängert. Hier müssen Sie im Zertifikatserwaltungssystem icms einen neuen Schlüssel mit Zertifikat beantragen. Es wird dringend empfohlen, die Verschlüsselungsschlüssel der abgelaufenen und widerrufenen Zertifikate im Zertifikatsspeicher (siehe 2.4) zu belassen, damit weiterhin alle bereits eingegangenen und verschlüsselten Nachrichten eingesehen werden können. Abgelaufenen und widerrufenen Signaturzertifikate können aus dem Zertifikatsspeicher entfernt werden. 12