Anleitung zum Einbinden von Zertifikaten in Outlook 2010 zum Versenden verschlüsselter und signierter E-Mails unter Windows 7 Stand: Januar 2014 Seite 1 von 20
Inhaltsverzeichnis: 1. Einleitung... 2 2. Zertifikat einrichten Vorbereitung... 2 2.1 Vorbedingungen... 3 2.2 Ihre Sicherheit... 3 3. Kurzanleitung und Übersicht... 4 3.1 Import der Zertifikate... 4 3.2 Zertifikate prüfen... 4 3.3 Verzeichnisdienst LDAP einrichten... 4 4. Import der Zertifikate... 5 4.1 Zertifikate importieren... 5 4.2 Erfolgreichen Import der Zertifikate überprüfen... 11 5. Verzeichnisdienst LDAP einrichten... 13 6. Verfassen einer signierten und verschlüsselten E-Mail... 19 6.1 Verfassen der E-Mail... 19 6.2 Verschlüsseln und Signieren festlegen... 20 6.3 Senden der E-Mail... 20 1. Einleitung Dieses Dokument beschreibt die Integration von Zertifikaten und digitalen Schlüsseln in Ihr Berliner Schulmailkonto unter Outlook 2010. Durch diese Zertifikate sind Sie in der Lage, verschlüsselte und signierte Mails an Personen zu schicken, die ebenfalls für ihr E-Mail- Konto die Zertifikate zum Verschlüsseln und Signieren installiert haben. Signierte Mails, die nicht verschlüsselt werden, können an jedes E-Mail-Konto gesandt werden. Durch das Signieren der E-Mail ist für den Empfänger sichergestellt, dass Ihre Schule wirklich der Absender der E-Mail ist. Durch das Verschlüsseln ist es nur dem Empfänger möglich, die Nachricht zu entschlüsseln und somit zu lesen bzw. den Anhang zu öffnen. So wird die Vertraulichkeit und Integrität der Daten sichergestellt. Wir empfehlen in dieser Anleitung, dass automatisch alle E-Mails signiert versandt werden. Sollten Sie Ihr Berliner Schulmailkonto noch nicht eingerichtet haben, so folgen Sie bitte vorher den Erläuterungen in der Anleitung Outlook 2010 Konto einrichten. 2. Zertifikat einrichten Vorbereitung Von der Registrierungsagentur (RA) erhalten Sie auf einem USB-Datenträger (Karte) zwei Dateien im Format PKCS#12, die je ein Zertifikat und ihren dazugehörigen privaten Schlüssel enthalten: Zum Verschlüsseln: <Benutzername>-Verschluesselung.p12 Bsp.: Schulleitung-01G01-Verschluesselung.p12 Zum Signieren: <Benutzername>-Signatur.p12 Bsp.: Schulleitung-01G01-Signatur.p12 Diese Dateien sind verschlüsselt und können nur nach Eingabe Ihrer PIN ausgelesen werden, die Sie ebenfalls von der Registrierungsagentur erhalten. Stand: Januar 2014 Seite 2 von 20
Die Zertifikate für die Schulleitungen sind Rollenzertifikate (auch Gruppenzertifikate genannt). Sie als Eigentümer der Zertifikate können nach eigenem Ermessen weiteren Personen die Nutzung der Zertifikate erlauben, wobei Sie mit Ihrer Unterschrift beim Empfang bestätigt haben, dass Sie die alleinige Verantwortung für den ordnungsgemäßen Einsatz der Zertifikate tragen. Zur Erhöhung der Sicherheit können Sie einer Vertrauensperson nur den Empfang verschlüsselter E-Mails an das Postfach der Schule erlauben, ohne dass diese Person auch E- Mails im Auftrag der Schule digital signieren (unterschreiben) kann. Dazu kann nur das Verschlüsselungszertifikat (Dateiname: Schulleitung-<BSN>-Verschluesselung.p12) in das Mailprogramm der Vertrauensperson integriert werden, wobei die PIN nicht weitergegeben werden darf. Wurden die Zertifikate auf Ihren Namen ausgestellt, gilt dieser Abschnitt natürlich nicht. Nur Sie dürfen Ihre eigenen Zertifikate benutzen. 2.1 Vorbedingungen Zur Integration der Zertifikate und digitalen Schlüssel benötigen Sie den USB-Datenträger mit den zwei Zertifikatdateien und den PIN-Brief bzw. die PIN. Diese Materialien bekommen Sie von der Registrierungssagentur bei der Senatsschulverwaltung gegen Unterschrift ausgehändigt. Für die Integration der Zertifikate benötigen Sie nur Ihre normalen Nutzerrechte auf Ihrem Arbeitsplatzcomputer, also keine Administratorrechte. Die Integration der Zertifikate erfolgt nur durch Konfiguration, also ohne Installation weiterer Software. Die Integration der Zertifikate kann vor oder nach Einrichtung des E-Mail-Kontos erfolgen. Eine Nutzung der Zertifikate ist erst mit dem vollständig eingerichteten E-Mail-Konto möglich. 2.2 Ihre Sicherheit Zur Geheimhaltung Ihrer privaten Schlüssel achten Sie bitte darauf, dass Sie Ihre Passwörter stets unbeobachtet eingeben. Bitte verwenden Sie die Zertifikate und Ihre privaten Schlüssel nur auf Arbeitsplatzcomputern, die sicher administriert werden. Ihre privaten Schlüssel sind nach der Installation auf Ihrem Arbeitsplatzrechner durch ein Passwort geschützt. Bitte verwenden Sie stets ein sicheres Passwort mit einer Länge von mindestens 8 Zeichen, welches neben Groß- und Kleinbuchstaben auch Sonderzeichen und Ziffern verwendet. Bitte verwenden Sie als Passwort niemals Wörter, die in Wörterbüchern gefunden werden können, da solche Passwörter heute leicht durch automatisches Ausprobieren erraten werden können. Bitte lesen Sie die Zertifikatsdateien nur direkt vom USB-Datenträger (USB-Karte) ein. Die Zertifikatsdateien vom USB-Datenträger dürfen nicht auf die Computerfestplatte oder Netzwerklaufwerke kopiert werden, da sie so von anderen Personen missbraucht werden könnten. Insbesondere kann mit entsprechender Spezialsoftware die Verschlüsselung durch unberechtigte Personen gebrochen werden. Bitte schützen Sie den USB-Datenträger gegen unberechtigte Verwendung durch andere Personen durch Lagerung in einem abgeschlossenen Schrank. Der USB-Datenträger darf nur für die Zertifikatsdateien verwendet werden. Halten Sie die von der Registrierungsagentur ausgegebene PIN Ihrer Zertifikate unbedingt geheim. Wenn Sie den PIN-Brief aufbewahren, so schützen Sie ihn gegen unberechtigte Verwendung durch andere Personen, am besten dadurch, dass er getrennt vom USB- Datenträger in einem abgeschlossenen Schrank gelagert wird. Stand: Januar 2014 Seite 3 von 20
Sollten Sie einen Verdacht auf Missbrauch oder unberechtigte Erlangung ihrer Zertifikate oder digitalen Schlüssel haben informieren Sie schnellstmöglich die Registrierungsagentur bei Senatsschulverwaltung, damit Gegenmaßnahmen wie die Sperrung der Zertifikate getroffen werden können. Bei Beschädigung oder versehentlichem Löschen der Zertifikate oder digitalen Schlüssel kann die Registrierungsagentur eine Ersatzausstellung vornehmen, so dass Ihre verschlüsselten Daten nicht verloren sind. 3. Kurzanleitung und Übersicht 3.1 Import der Zertifikate Das E-Mailprogramm MS Outlook 2010 nutzt den Zertifikatsspeicher des Betriebssystems Windows 7. Die Integration der Zertifikate sollte über MS Outlook 2010 heraus gestartet werden. Starten Sie Outlook 2010, falls es noch nicht erfolgt ist. Wählen Sie dann folgende Menüpunkte: Datei Optionen Sicherheitscenter Einstellungen für Sicherheitscenter.. E- Mail-Sicherheit. Haken bei Ausgehende Nachrichten digitale Signatur hinzufügen und signierte Nachrichten als Klartext senden setzen. Dann Importieren/Exportieren... wählen. Dort vom USB-Datenträger nacheinander die beiden Dateien importiert werden. Dazu muss jeweils der Dateiname mit der Endung p12 ausgewählt und die PIN als Kennwort eingegeben werden. Dabei muss Hohe Sicherheit für den privaten Schlüssel aktiviert werden. Wählen Sie die Sicherheitsstufe Hoch und setzen Sie ein eigenes sicheres Kennwort für Ihre Austauschschlüssel. 3.2 Zertifikate prüfen Nach Import beider Zertifikate überprüfen Sie noch einmal in Windows, ob beide Zertifikate erfolgreich importiert wurden. Das geht so: Start Systemsteuerung Netzwerk und Internet Internetoptionen Inhalte Zertifikate. Bei erfolgreichem Import sehen Sie hier die beiden importierten Zertifikate. 3.3 Verzeichnisdienst LDAP einrichten Menü Datei Informationen Konteneinstellungen Konteneinstellungen.. Registerkarte Adressbücher Befehl Neu... Internetverzeichnisdienst LDAP Folgende Servereinstellungen verwenden: Feld Eingabe Servername ldap.pca.dfn.de Suchbasis o=dfn-verein,c=de Anschluss 389 Um alle Angaben einzugeben auch weitere Einstellungen und dort die Registerkarten Verbindungen und Suche nutzen Erst wenn alle Einstellungen vorgenommen wurden, auf Weiter klicken! Outlook neu starten, zur Kontrolle im LDAP-Verzeichnis nach Senat suchen lassen Stand: Januar 2014 Seite 4 von 20
4. Import der Zertifikate 4.1 Zertifikate importieren Starten Sie Outlook 2010. Klicken Sie auf Datei Informationen Optionen (Abbildung 1) Abbildung 1: Optionen öffnen Abbildung 2: Einstellungen für das Sicherheitscenter Klicken Sie auf Sicherheitscenter und danach auf Einstellungen für das Sicherheitscenter... (Abbildung 2). Stand: Januar 2014 Seite 5 von 20
Abbildung 3: Importieren wählen Wählen Sie E-Mail-Sicherheit. Setzen Sie die Haken wie oben. Zum Importieren der Zertifikate wählen Sie Importieren/Exportieren... (Abbildung 3). Abbildung 4: Zertifikat-Dateien suchen Klicken Sie auf Durchsuchen..., um die Zertifikatsdateien zu wählen. (Abbildung 4). Stand: Januar 2014 Seite 6 von 20
Abbildung 5: Zertifikate-Dateien wählen Wählen Sie den USB-Datenträger, den Sie von der Registrierungsstelle erhalten haben, und dort die erste der beiden Dateien mit der Endung.p12. und klicken Sie auf Öffnen. (Abbildung 5). Abbildung 6: Kennwort für das Zertifikat eingeben Sie werden im Feld Kennwort aufgefordert, die PIN einzugeben, die Sie von der Registrierungsagentur erhalten haben. Klicken Sie auf Weiter (Abbildung 6).. Stand: Januar 2014 Seite 7 von 20
Abbildung 7: Sicherheitsstufe wählen Klicken Sie auf Sicherheitsstufe... (Abbildung 7). Abbildung 8: Sicherheitsstufe Hoch wählen Bitte aktivieren Sie dann die Sicherheitsstufe Hoch. Klicken Sie dann auf Weiter (Abbildung 8). Stand: Januar 2014 Seite 8 von 20
Abbildung 9: Sicheres Passwort eingeben Im neuen Fenster müssen Sie ein eigenes sicheres Kennwort für den Schutz Ihrer privaten Schlüssel eingeben (Abbildung 9). Bitte verwenden Sie ein mindestens 10 Zeichen langes und ausreichend kompliziertes Kennwort, das Sie sich aber merken können. Sie müssen dieses Kennwort jedes Mal zur Verwendung der Zertifikate, z. B. zum Senden einer verschlüsselten oder signierten E-Mail eingeben. Abbildung 10: Sicherheitsstufe richtig eingestellt Jetzt ist die Sicherheitsstufe richtig eingestellt. Klicken Sie auf OK (Abbildung 10). Stand: Januar 2014 Seite 9 von 20
Abbildung 11: Import der zweiten Datei beginnen Der Import der ersten Zertifikatsdatei war erfolgreich. Nun können Sie mit dem Import der zweiten Datei beginnen. Klicken Sie dazu wieder auf Importieren/Exportieren... (Abbildung 3). Fahren Sie nun mit den Schritten von Abbildung 4 bis 10 fort. Wählen Sie jedoch die zweite Zertifikatsdatei (Abbildung 11). Abbildung 12: Import der Zertifikate abschließen Nach erfolgreichem Import des zweiten Zertifikats schließen Sie den Vorgang mit OK ab (Abbildung 12). Stand: Januar 2014 Seite 10 von 20
4.2 Erfolgreichen Import der Zertifikate überprüfen Ob der Import der Zertifikate erfolgreich war, können Sie im Windows-Betriebssystem überprüfen. Klicken Sie dazu auf Start und dann auf Systemsteuerung (Abbildung 13). Abbildung 13: Systemsteuerung öffnen Abbildung 14: Netzwerk und Internet öffnen Klicken Sie auf Netzwerk und Internet (Abbildung 14). Stand: Januar 2014 Seite 11 von 20
Abbildung 15: Internetoptionen wählen Wählen Sie Internetoptionen (Abbildung 15). Abbildung 16: Zertifikate anzeigen lassen Wählen Sie den Reiter Inhalte und dort Zertifikate (Abbildung 16). Stand: Januar 2014 Seite 12 von 20
Abbildung 17: Die installierten Zertifikate werden angezeigt. Wählen Sie den Reiter Eigene Zertifikate. Dann sind alle installierten Zertifikate angezeigt. Wenn es so wie in der Abbildung 17 aussieht, ist alles in Ordnung und Sie können mit Schließen beenden. 5. Verzeichnisdienst LDAP einrichten Für den sicheren Mailverkehr mit anderen Berliner Schulen und der Senatsverwaltung werden die Zertifikate der Kommunikationspartner in einem Verzeichnisdienst über LDAP (Lightweight Directory Access Protocol) bereitgestellt. Um diesen nutzen zu können muss der LDAP-Server im Microsoft Outlook 2010 konfiguriert werden. Zur Nutzung des Verzeichnisdienstes der DFN-PKI (LDAP-Server) sind folgende Einstellungen erforderlich: Hostname: ldap.pca.dfn.de Basis-DN: o=dfn-verein,c=de Port: 389 Die Konfiguration des LDAP-Servers erfolgt mit einem Assistenten, der in Outlook 2010 unter dem Menüpunkt Datei Informationen Konteneinstellungen Konteneinstellungen.. gestartet wird (Abbildung 18). Stand: Januar 2014 Seite 13 von 20
Abbildung 18: Assistent E-Mail-Konten zum Verzeichnis einrichten Hinweis: Beachten Sie bitte, dass nach der Konfiguration eines LDAP-Servers immer Outlook 2010 beendet und neu gestartet werden muss! Abbildung 19: Registerkarte Adressbücher Wählen Sie in der Registerkarte Adressbücher den Befehl Neu (Abbildung 19). Stand: Januar 2014 Seite 14 von 20
Abbildung 20: Internetverzeichnisdienst LDAP wählen Klicken Sie auf Internetverzeichnisdienst LDAP und dann auf Weiter (Abbildung 20). Stand: Januar 2014 Seite 15 von 20
Abbildung 21: Servernamen eingeben und Weitere Einstellungen anklicken Geben Sie als Servernamen ldap.pca.dfn.de an und klicken Sie auf Weitere Einstellungen (Abbildung 21). Abbildung 22: Hinweis auf einen Neustart An dieser Stelle erfolgt von Outlook 2010 der Hinweis, dass nach Fertigstellung der Konfiguration des LDAP-Servers ein Neustart des Programms Outlook 2010 erfolgen muss, ehe eine Nutzung möglich ist (Abbildung 22). Bestätigen Sie mit OK. Stand: Januar 2014 Seite 16 von 20
Abbildung 23: Suchbasis eingeben Im neuen Fenster Microsoft LDAP Verzeichnis muss unter dem Reiter Suche noch die Suchbasis o=dfn-verein, c=de eingegeben werden. Anschließend wird die Eingabe mit OK bestätigt und die Konfiguration fertig gestellt. (Abbildung 23) Abbildung 24 Abbildung 25 Klicken Sie dann auf Weiter (Abbildung 24) und dann auf Fertig stellen (Abbildung 25). Stand: Januar 2014 Seite 17 von 20
Nach Abschluss der Konfiguration muss Outlook 2010 beendet und neu gestartet werden. Klicken Sie dazu auf Datei Beenden (Abbildung 26). Starten Sie Outlook gleich wieder neu. Abbildung 26: Outlook 2010 beenden Bild 27: Menüband Hauptregisterkarte Start Nun können Sie im Adressbuch den Verzeichnisdienst des DFN nutzen. Klicken Sie dazu auf Start. Sehen Sie das Menüband (Abbildung 27)? Wenn nicht, klicken Sie nochmals auf Start. Dazu rufen Sie dort bitte Adressbuch auf. Abbildung 28: Suchen Zur Probe wählen Sie als Adressbuch in der rechten oberen Auswahlliste den Verzeichnisdienst des DFN. Anschließend geben Sie links im Suchfeld den Begriff senat ein (Abbildung 28). Klicken Sie dann auf OK. Als Ergebnis muss die Senatsverwaltung-Berlin-Schul-CA gefunden werden (Abbildung 28). Stand: Januar 2014 Seite 18 von 20
6. Verfassen einer signierten und verschlüsselten E-Mail 6.1 Verfassen der E-Mail Zum Verfassen einer E-Mail müssen Sie zunächst Outlook 2010 öffnen (Start Programme Microsoft Office Microsoft Outlook 2010). Klicken Sie dann im Hauptfenster von Outlook 2010 unten links auf E-Mail (Abbildung 29). Gehen Sie beim Verfassen der Nachricht wie immer vor (Start Neue E-Mail-Nachricht). Beachten Sie allerdings, dass Sie auch das richtige E-Mail-Konto gewählt haben. Abbildung 29: E-Mail Programm öffnen Abbildung 30: E-Mail Konto auswählen Klicken Sie im geöffneten Fenster auf Von (Abbildung 30), und wählen Sie den Eintrag für die sichere Schulmail aus. Hinweis: Wenn Sie mit Outlook nur eine E-Mail-Adresse verwalten, wird die Schaltfläche Von nicht angezeigt, und Sie können diesen Schritt überspringen. Abbildung 31: Dateien an E-Mail anhängen Um der neuen E-Mail-Nachricht Dateien anzufügen, klicken Sie in der Menüleiste auf Datei einfügen (Abbildung 31). Markieren Sie im neuen Dialogfenster Datei einfügen die gewünschten Dateien und klicken Sie auf Einfügen. Stand: Januar 2014 Seite 19 von 20
6.2 Verschlüsseln und Signieren festlegen Abbildung 32: E-Mail-Nachricht vor dem Verschlüsseln und Signieren Öffnen Sie die Registerkarte Optionen durch Klicken. Klicken Sie je einmal auf die markierten Schaltflächen zum Verschlüsseln und Signieren im Menüband der Registerkarte Optionen (Abbildung 32). So ändert sich das Erscheinungsbild der Schaltflächen: Vorher Nachher Hinweis: Sollte die Schaltfläche Signieren bereits markiert sein, klicken Sie nur noch auf Verschlüsseln. 6.3 Senden der E-Mail Überprüfen Sie noch einmal, ob sich die Schaltflächen wirklich wie oben zu sehen verändert haben. Zum Versenden der Nachricht klicken Sie auf die Schaltfläche Senden. Abbildung 33: Sicherheitskennwort eingeben Sie werden nun zur Eingabe des Kennwortes, das Sie bei der Installation festgelegt hatten (siehe Abbildung 9), aufgefordert. Geben Sie das Kennwort ein und klicken Sie auf OK (Abbildung 33). Jetzt wird Ihre E-Mail verschlüsselt und signiert gesendet. Stand: Januar 2014 Seite 20 von 20