Zertifikate in elektronischen Geschäftsprozessen

Hochschule Anhalt (FH) Zentrum für Informations-und Kommunikationstechnologien Zertifikate in elektronischen Geschäftsprozessen Randolf Engler

2 Vorwort Die vorliegenden Erläuterungen und Anleitungen sollen Nutzern helfen, sich mit der Problematik von Zertifikaten in elektronischen Geschäftsprozessen zu beschäftigen und diese auf ihrem persönlichen Arbeitsplatzrechner einzusetzen. Die Ausarbeitung befasst sich mit Nutzerzertifikaten und ist an den normalen Nutzer adressiert. Hinweise zu Serverzertifikaten werden in einer anderen Dokumentation bereitgestellt. Die allgemeinen Ausführungen (Abschnitte 1 und 2) sind weitestgehend unabhängig von den auf dem Rechner installierten Applikationen. Die Anleitungen zum praktischen Umgang gelten für den MS Internetexplorer und MS Outlook. Für andere Plattformen kann versucht werden, sinngemäß zu verfahren. Es wird jedoch an einigen Stellen auch abweichend gearbeitet werden müssen. Interessierte Nutzer sind herzlich eingeladen, ähnliche Anleitungen zu formulieren und dem ZIK zuzustellen. Wir werden sie gern an entsprechender Stelle veröffentlichen, um weitere Nutzerkreise damit zu unterstützen. 1. Grundlagen Zertifikate dienen der Verbesserung der Sicherheit von elektronisch abgewickelten Geschäftsprozessen. Hierzu zählen insbesondere das Signieren und Verschlüsseln von Dokumenten und E-Mails. Signieren entspricht dem üblichen Unterschreiben einschließlich der Bildung eines Prüfwertes, mit dessen Hilfe man feststellen kann, ob das Dokument oder die E-Mail nach dem Unterschreiben verändert wurde. Verschlüsseln heißt, das Dokument oder die E-Mail mit Hilfe von Kryptografieschlüsseln in einen Zustand zu versetzen, dass keine Rückschlüsse auf den Inhalt von Dokument oder E-Mail möglich sind, wenn man nicht im Besitz des passenden Schlüssels zum Entschlüsseln ist. 1.1 Was ist ein Zertifikat? Zertifikate dienen der Identifizierung von Personen oder Maschinen bei der elektronischen Abwicklung von Geschäftsprozessen. Sie können im Zusammenspiel mit kryptografischen Algorithmen zur Bestätigung der Unversehrtheit sowie zur Verschlüsselung von Dokumenten oder E-Mails genutzt werden. Ein Zertifikat enthält Angaben zum Eigentümer des Zertifikates, den Aussteller, Start- und Ablaufdatum der Gültigkeit und einen oder mehrere Schlüssel für kryptografische Zwecke.

3 1.2 Was ist ein Schlüssel? Verwendet werden heute meist asymmetrische Schlüsselpaare. Zu einem Paar gehören der persönliche und der öffentliche Schlüssel. Der persönliche Schlüssel (vergleichbar mit einem Personalausweis) ist nur dem Eigentümer bekannt, der ihn vor der Nutzung durch Unbefugte sorgfältig schützen sollte. Er dient der Signierung von Dokumenten und kann zur Entschlüsselung von für den Eigentümer verschlüsselten Dokumenten verwendet werden. Der öffentliche Schlüssel wird öffentlich verteilt und ist i.d.r. aus Verzeichnisservern der ausstellenden Einrichtung abrufbar. Er dient der Bestätigung der Echtheit der vom Eigentümer verwendeten Signatur und kann zum Verschlüsseln von Nachrichten an den Eigentümer genutzt werden. 1.3 Wer darf Zertifikate ausstellen? Ähnlich wie bei den üblichen Dokumenten enthält ein Zertifikat auch Angaben zur ausstellenden Einrichtung. Um allgemeines Vertrauen in die Zertifikate herzustellen, sind die ausstellenden Einrichtungen ebenfalls mit derartigen Zertifikaten ausgestattet, die möglicherweise wiederum bestätigt sind. Diese Bestätigungskette endet oben bei einer sog. Stammzertifizierungsstelle (auch Root-CA genannt). Diese Zertifikatgeber sind nach Kriterien des Signaturgesetzes überprüfte Einrichtungen. 1.4 In welcher Struktur stehen Zertifikate? Das folgende Bild zeigt den Zertifizierungspfad eines durch die HS Anhalt CA ausgestellten persönlichen Zertifikates.

4 Es handelt sich um ein Personenzertifikat, das auf die Person Randolf Engler ausgestellt wurde. Dieses Zertifikat ist gültig und wurde durch die Zwischenzertifizierungsstelle der HS-Anhalt CA-G01 ausgestellt (geprüft und signiert). Das Zertifikat der HS Anhalt CA ist ebenfalls gültig und wurde durch DFN-Verein PCA Classic G01 geprüft und signiert. Das Root-Zertifikat des DFN-Vereins selbst ist ebenfalls gültig. Somit entsteht die beschriebene Zertifikatskette, die oben im Root- Zertifikat endet. 1.5 Wann sind Zertifikate gültig? Zertifikate sind im Zeitraum vom Beginn bis zum Ablauf der Gültigkeit gültig, wenn sie nicht vor Ablauf der Gültigkeit gesperrt wurden. Die Gültigkeitsdauer wird nach den Richtlinien der Zertifizierungsstelle festgelegt. In der HS Anhalt CA beträgt die Gültigkeitsdauer z.z. 3 Jahre (Nutzerzertifikate), 5 Jahre (Serverzertifikate).

5 2. Nutzung von Zertifikaten 2.1 Wie werden Zertifikate zum Signieren genutzt? Ein Nutzer vorausgesetzt er ist im Besitz eines eigenen Zertifikats kann eine E-Mail, die er versenden will, oder elektronische Dokumente mit seinem Zertifikat signieren. Dabei wird mit Hilfe des privaten Schlüssels ein Algorithmus auf alle Bits des Dokumentes bzw. der E-Mail angewandt und ein Prüfwert erzeugt. Dieser Prüfwert und der öffentliche Teil des Schlüssels werden der E-Mail beigefügt. Die E-Mail selbst bleibt dabei im Klartext lesbar und wird auch im Klartext versendet. Ist die Mail beim Empfänger angekommen, wendet nun dessen Mailclient ebenfalls einen Algorithmus auf alle Bits der E-Mail an, jedoch mit dem mitgelieferten öffentlichen Schlüssel. Bei nachträglicher Veränderung der E-Mail oder des betreffenden Dokuments auf dem Übertragungsweg vom Absender zum Empfänger würde dieser ermittelte Wert nicht mit dem im Dokument enthaltenen ursprünglich mit dem privaten Schlüssel gebildeten Wert übereinstimmen. Somit kann festgestellt werden, ob das Dokument oder die E-Mail auf dem Transport verändert wurde oder ob es noch im Originalzustand ist. 2.2 Wie werden Zertifikate zum Verschlüsseln genutzt? Will ein Nutzer eine E-Mail versenden, so kann er diese für den Transport verschlüsseln, so dass nur der Empfänger deren Inhalt lesen kann. Dazu nutzt er den öffentlichen Schlüssel des Empfängers und wendet mit dessen Hilfe einen Kryptografiealgorithmus auf die E- Mail an. Dadurch entsteht eine Folge von Zeichen, die keine Rückschlüsse auf den tatsächlichen Inhalt der Nachricht mehr zulässt. Der Empfänger wendet nun ebenfalls einen solchen Algorithmus auf die empfangene Mail an, jedoch mit seinem nur ihm bekannten persönlichen Schlüssel. Dadurch wird die Nachricht wieder in den Originalzustand vor dem Verschlüsseln versetzt und wird für den Empfänger lesbar. 2.3 Wie werden Zertifikate zum Signieren und Verschlüsseln genutzt? Die beiden unter 1.5 und 1.6 beschriebenen Methoden können bei Bedarf auch kombiniert angewendet werden. Dabei wird beim Absender zunächst signiert und dann verschlüsselt. Der Empfänger wendet nun zunächst die Entschlüsselung und dann die Signaturprüfung an. 2.4 Wie werden Zertifikate geprüft? Um nun ein erhaltenes Dokument mit einer Signatur bewerten zu können, muss das Zertifikat einschließlich aller in seinem Zertifizierungspfad enthaltenen Zertifikate überprüft werden.

6 Bei der Prüfung sind insbesondere folgende Fragen zu beantworten: Wurde das Zertifikat vor Beginn oder nach Ablauf seiner Gültigkeit benutzt? Ist das Zertifikat vor der Benutzung gesperrt worden? Wenn für alle im Zertifizierungspfad enthaltenen Zertifikate beide Fragen mit Nein beantwortet werden, ist das Zertifikat gültig. Für die Prüfung ist es erforderlich, dass die prüfende Applikation Zugriff auf die Zertifikate und die Sperrlisten hat. 2.5 Wo werden Zertifikate aufbewahrt? Um Zertifikate (eigene und fremde) bei elektronischen Vorgängen nutzen zu können, müssen diese auf der entsprechenden Maschine verfügbar sein. Dazu kann das Zertifikat auf einer Chipkarte gespeichert sein, wenn der Rechner über ein entsprechendes Kartenlesegerät verfügt, im Windows Zertifikatspeicher gespeichert sein, in einem separaten Zertifikatspeicher eines Browsers bzw. Mailsystems sein. Die Zertifikate auf Chipkarten werden durch die Aussteller auf den Chipkarten gespeichert. Die anderen Zertifikate müssen durch Import aus den vorliegenden Zertifikatsdateien in die Zertifikatsspeicher übertragen werden. 3. Eigene Zertifikate Bevor man ein eigenes Zertifikat benutzen kann, muss man dieses bei der dafür zuständigen Zertifizierungsinstanz beantragen. Für Mitarbeiter und Studierende der HS Anhalt ist dies die HS Anhalt CA. Die folgende Beschreibung wurde auf die Web-Schnittstelle zur Beantragung von Zertifikaten im Sicherheitsniveau Global nach CPS V2.1, abgestimmt. 3.1 Beantragung eines Zertifikats Schritt 1: Öffnen Sie Ihren Browser. Nach Eingabe des Links https://pki.pca.dfn.de/hs-anhalt-ca/pub erreichen Sie die öffentliche Schnittstelle der Zertifizierungsstelle HS Anhalt CA.

7 Wählen Sie die Registerkarte Zertifikate und danach Nutzerzertifikat.

8 Geben Sie Ihre Daten in die rechts im Formular enthaltenen Felder ein. Alle mit einem Stern gekennzeichneten Felder müssen ausgefüllt werden. Achten Sie bitte auf korrekte Eintragung. Umlaute sind zu umschreiben. Die Eingabe für Institut/Abteilung muss der korrekte Name einer Struktureinheit der HS Anhalt (z.b. Fachbereich EMW ) sein. Sollten Sie im Zweifel über eine Eintragung sein, fragen Sie bitte in der HS Anhalt CA nach. Kontaktinformationen erhalten Sie unter http://www.zik.hs-anhalt.de/ca. Falls Fenster mit Fehlermeldungen erscheinen sollten, korrigieren Sie diese entsprechend den Hinweisen. Schritt 2: Wählen Sie Weiter. In dem folgenden Fenster werden Ihnen Ihre eingegebenen Daten nochmals ausgegeben. Prüfen Sie diese bitte genau und wählen Sie im Bedarfsfalle Ändern, um Korrekturen vorzunehmen. Dem Link Erweiterte Optionen >> müssen Sie nicht folgen. Sollten Sie dennoch in dieses Fenster gelangen, nehmen Sie bitte keine Änderungen im Feld Kryptografisches Gerät vor (Standard). Sind die Daten korrekt, wählen Sie bitte Bestätigen. Schritt 3: Im folgenden Fenster erscheint u.u. ein Sicherheitshinweis, den Sie ignorieren können. Danach erscheint ein Fenster, das Sie über die Erstellung eines geschützten Objektes informiert.

9 Hier soll ein Schlüssel generiert werden, der Ihren Antrag und dann später Ihr Zertifikat auf dem Transport schützen wird. Der private Teil dieses Schlüssels verbleibt in einem besonders gesicherten Bereich auf Ihrem Computer. Klicken Sie auf Sicherheitsstufe. Wählen Sie Hoch und Weiter. Sie werden nun aufgefordert, ein Passwort einzugeben und dies zu bestätigen. Danach klicken Sie auf Fertigstellen. Mit diesem Passwort wird ihr privater Schlüssel geschützt. Sie kommen zum Fenster zur Erzeugung des Schlüssels zurück. Nun sehen Sie, dass Sie die hohe Sicherheitsstufe gewählt haben. Klicken Sie auf OK. Es erscheint ein Fenster, das Ihnen die weitere Verfahrensweise erläutert.

10 Wählen Sie, nachdem Sie die Hinweise gelesen haben, die Schaltfläche Zertifikatantrag anzeigen. Im Fenster der HS Anhalt CA sehen Sie nun die Daten Ihres Zertifikatantrages in Form eines.pdf-dokuments.

11 Dieses Formular müssen Sie nun durch Anklicken der Schaltfläche Drucken ausdrucken. Danach schließen Sie den Browser. Sie dürfen von diesem Moment bis zur Installation Ihres Zertifikates keinerlei Veränderungen an Ihrem Zertifikatsspeicher und keine Neuinstallation Ihres Browsers vornehmen! Der private Schlüssel kann verloren gehen, wenn das Benutzerprofil gelöscht wurde, das Betriebssystem neu installiert wurde, die Festplatte beschädigt ist. Bei Verlust des Schlüssels können Sie Ihr später übermitteltes Zertifikat nicht entschlüsseln und installieren.

12 Schritt: 4 Vervollständigen Sie im Formular die folgenden Angaben: Anrede, Telefonnummer, Art des Ausweises (Personalausweis oder Reisepass), Letzte fünf Zeichen der Ausweisnummer, Straße und Hausnummer, Postleitzahl und Ort, Datum und Unterschrift.

13 3.2 Identitätsprüfung Sie müssen sich nun in einer der Registrierungsstellen der HS Anhalt CA persönlich vorstellen. Dabei müssen Sie das im Formular benannte Personaldokument, das vollständig ausgefüllte und unterschriebene Formular mitbringen. Über die Kontaktadressen der Registrierungsstellen informieren Sie sich bitte unter http://www.zik.hs-anhalt.de/ca im WWW. 3.3 Zustellung Ihres Zertifikats Nach der Genehmigung des Zertifikatantrages durch einen Mitarbeiter der Registrierungsstelle wird Ihnen Ihr Zertifikat per E-Mail zugestellt. 3.4 Installation Ihres Zertifikats In der Ihnen zugesandten E-Mail sind detaillierte Informationen enthalten, wie Sie Ihr Zertifikat installieren müssen. Wählen Sie im Assistenten zum Import die höchste Stufe der Sicherheit und vergeben Sie ein Kennwort, das für jeden Zugriff auf den privaten Schlüssel abgefragt werden wird. Beachten Sie bitte, dass Sie die angegebenen Links mit dem Browser öffnen, mit dem Sie den Zertifikatsantrag gestellt haben. Wenn Sie Ihr Zertifikat für Zwecke der Verschlüsselung einsetzen wollen, verfahren Sie wie im Punkt 4.3.2, jedoch wählen Sie im Browser Eigene Zertifikate und in den Kontakten Ihren eigenen Kontakt. 3.5 Sicherung Ihres Zertifikats Nachdem Sie die Installationen vollendet haben, sollten Sie Ihr Zertifikat extern sichern und es an einem sicheren Ort aufbewahren. Seien Sie sich darüber im Klaren, dass Sie der Einzige sind, der im Besitz des privaten Schlüssels ist. Der private Schlüssel kann von der Zertifizierungsstelle nicht nochmals beschafft werden. Bei Verlust des privaten Schlüssels wären keine für Sie verschlüsselten Dokumente mehr lesbar. Schritt 1: Öffnen Sie Ihren Internetexplorer. Wählen Sie in der Menüleiste Extras Internetoptionen.

14 Wählen Sie die Registerkarte Inhalte. Klicken Sie nun auf Zertifikate.

15 Wählen Sie das zu sichernde Zertifikat aus und klicken Sie auf Exportieren. Wählen Sie Ja, privaten Schlüssel exportieren und klicken Sie dann auf Weiter. Wählen Sie Privater Informationsaustausch, Wenn möglich, alle Zertifikate im Zertifizierungspfad, Verstärkte Sicherheit aktivieren und dann Weiter.

16 In dem dann erscheinenden Fenster werden Sie aufgefordert, ein Kennwort einzugeben und zu bestätigen. Dieses Kennwort sollten Sie gut gesichert aufbewahren, da Sie es zur späteren Verarbeitung dieses exportierten Zertifikates benötigen. Es schützt den privaten Teil Ihres Keys. Nach dem Anklicken von Weiter sehen Sie ein Fenster, das Sie zum Durchsuchen Ihres Dateisystems auffordert. Wählen Sie hier den Speicherort (USB-Stick empfohlen) für das zu exportierende Zertifikat. Wählen Sie dann Weiter, um eine Zusammenfassung der Daten für den Export zu sehen. Wählen Sie dann Fertigstellen. Das System fordert von Ihnen jetzt ein Kennwort für die Herausgabe des privaten Schlüssels. Dieses Kennwort hatten Sie definiert, als Sie das Zertifikat in Ihren Browser importiert haben. Wählen Sie OK. Manche Browser melden den erfolgreichen Export des Zertifikats. Schließen Sie Ihren Browser. Verwahren Sie den Datenträger an einem sicheren Ort (möglichst nicht neben dem Rechner). Von ihm können Sie bei Verlust des Zertifikats dieses wiederherstellen. 4. Fremde Zertifikate Um Zertifikate (eigene und fremde) bei elektronischen Vorgängen nutzen zu können, müssen diese auf der entsprechenden Maschine verfügbar sein. Dies trifft für alle im Zertifizierungspfad enthaltenen Zertifikate (Wurzelzertifikat, Zwischenzertifikat(e), Nutzerzertifikat)zu. Bei Zertifikaten, die durch die HS Anhalt CA ausgestellt wurden, sind dies folgende Zertifikate: DFN-Verein PCA Classic G01 (Wurzelzertifikat); HS Anhalt CA G01 (Zwischenzertifikat); das entsprechende Nutzerzertifikat.

17 4.1. Import des Wurzelzertifikats der HS Anhalt CA Schritt 1: Öffnen Sie Ihren Browser. Nach Eingabe des Links https://pki.pca.dfn.de/hs-anhalt-ca/pub erreichen Sie die öffentliche Schnittstelle der Zertifizierungsstelle HS Anhalt CA. Wählen Sie die Registerkarte CA-Zertifikate. Nun können Sie alle Zertifikate in Ihren Zertifikatsspeicher importieren, die in der Zertifikatskette über Ihrem zukünftigen Zertifikat enthalten sind und die benötigt werden, um die Gültigkeit Ihres Zertifikats zu prüfen. Falls Sie den Internet Explorer nutzen, sollte das Wurzelzertifikat schon standardmäßig in Ihrem Zertifikatsspeicher enthalten sein. Dies gilt mehr und mehr für die meisten eingesetzten Browser.Dann können Sie den Schritt 2 übergehen. Sollten Sie sich aber nicht sicher sein, können Sie das Zertifikat dennoch importieren. Falls der Exportassistent das Zertifikat schon in Ihrem Speicher findet, wird er den Import abbrechen.

18 Schritt 2: Wählen Sie nun Wurzelzertifikat. Im Dialogfeld wählen Sie nun Öffnen. Im folgenden Feld können Sie nun Zertifikatsinformationen sehen.

19 Wählen Sie Zertifikat installieren. Schritt 3: Es öffnet sich ein Assistent zum Import des Zertifikats. Folgen Sie den Anweisungen des Assistenten.

20 Markieren Sie Zertifikatspeicher automatisch auswählen und Weiter. Abhängig vom Browsertyp erscheint in manchen Fällen eine Mitteilung über den erfolgreichen Import des Zertifikats. Schritt 4: Öffnen Sie Ihren Browser und wählen Sie im Menü Extras den Punkt Internetoptionen. Wählen Sie die Registerkarte Inhalte.

21 Klicken Sie nun auf Zertifikate. Wählen Sie (ggf. durch scrollen) die Registerkarte Vertrauenswürdige Stammzertifizierungsstellen. Sie sollten hier nun das Zertifikat Deutsche Telekom Root CA 2 finden. Falls Sie das Zertifikat nicht finden sollten, wiederholen Sie bitte den Import des Zertifikats.

22 4.2. Import der Zertifikate der DFN PCA und der HS Anhalt CA Gehen Sie zu Schritt 2 unter 4.1 und wählen Sie nun DFN-PCA Zertifikat und arbeiten bis einschl. Schritt 3 den Import ab. Danach wählen Sie HS Anhalt CA Zertifikat und wiederholen diese Prozedur. Im Schritt 4 wählen Sie nun (ggf. durch scrollen) die Registerkarte Zwischenzertifizierungsstellen. Sie sollten hier nun die Zertifikate DFN-Verein PCA Global G01 HS Anhalt CA G02 finden. Falls Sie nicht alle Zertifikate finden sollten, wiederholen Sie bitte den Import der fehlenden Zertifikate. Verlassen Sie dann die HS Anhalt CA über die Registerkarte Abmelden. 4.3. Import von Nutzerzertifikaten anderer Personen 4.3.1 Import in den Browser Die hier beschriebenen Aktionen sind vor allem nur dann erforderlich, wenn Sie an andere Personen verschlüsselte Mails versenden wollen. In diesem Fall müssen Sie den öffentlichen Key dieser Person in den Zertifikatsspeicher importieren. Schritt 1: Öffnen Sie Ihren Browser. Nach Eingabe des Links https://pki.pca.dfn.de/hs-anhalt-ca/pub erreichen Sie die öffentliche Schnittstelle der Zertifizierungsstelle HS-Anhalt CA.

23 Wählen Sie die Registerkarte Zertifikate und danach Zertifikat suchen. Geben Sie nun im Feld E-Mail-Adresse die Mailadresse der anderen Person ein und klicken auf OK. Sie sehen nun das gewünschte Zertifikat. Klicken Sie nun auf den i- Button (Information).

24 Sie sehen nun Daten des Zertifikats. Wählen Sie im Auswahlfeld das Format DER aus der Liste und klicken Sie auf den Button Download.

25 Schritt 2: Im Dialogfeld wählen Sie nun Öffnen. Im folgenden Feld können Sie nun Zertifikatsinformationen sehen. Wählen Sie Zertifikat installieren. Schritt 3: Es öffnet sich ein Assistent zum Import des Zertifikats. Folgen Sie den Anweisungen des Assistenten.

26 Markieren Sie Zertifikatspeicher automatisch auswählen und Weiter. Abhängig vom Browsertyp erscheint in manchen Fällen eine Mitteilung über den erfolgreichen Import des Zertifikats. Schritt 4: Öffnen Sie Ihren Browser und wählen Sie im Menü Extras den Punkt Internetoptionen. Wählen Sie die Registerkarte Inhalte.

27 Klicken Sie nun auf Zertifikate. Wählen Sie (ggf. durch Scrollen) die Registerkarte Andere Personen. Sie sollten hier nun das ausgewählte Zertifikat finden. Falls Sie das Zertifikat nicht finden sollten, wiederholen Sie bitte den Import des Zertifikats. 4.3.2 Import in Ihre Kontakte Falls Sie das Zertifikat nicht nur zur Prüfung der Signatur, sondern auch zur Verschlüsselung von E-Mail an diese Person verwenden wollen, müssen Sie das Zertifikat noch in die von Ihrem Mail-Client genutzten Kontakte importieren. Schritt 1: Sie haben nach der Prüfung des Imports des fremden Zertifikates die Übersicht über die im Browser vorhandenen Zertifikate noch offen.

28 Markieren Sie das Zertifikat und wählen Sie Exportieren. Es öffnet sich ein Assistent zum Export des Zertifikats. Folgen Sie den Anweisungen des Assistenten. Wählen Sie DER-codiert-binär X.509 (.CER) und Weiter.

29 Klicken Sie auf Durchsuchen. Es erscheint das unter Windows typische Dateiauswahlfeld. Wählen Sie einen für die temporäre Zwischenspeicherung geeigneten Ordner und geben Sie dem zu speichernden Zertifikat einen Dateinamen. (Geben Sie dabei bitte keine Dateierweiterung an, da diese vom System selbst erzeugt wird.) Klicken Sie auf Speichern. Sie werden nun zum Assistenten zurückgeführt. Klicken Sie auf Weiter und dann auf Fertigstellen. Abhängig vom Browsertyp erscheint in manchen Fällen eine Mitteilung über den erfolgreichen Export des Zertifikats. Schließen Sie alle Fenster Ihres Browsers. Schritt 2: Öffnen Sie in Outlook die Kontakte. Öffnen Sie nun den Kontakt der Person, deren Zertifikat Sie importieren möchten.

30 Wählen Sie nun die Registerkarte Zertifikate. Es erscheint ein Fenster mit einer Übersicht aller für diese Person bereits gespeicherten Zertifikate. Dies ist sehr wahrscheinlich leer. Klicken Sie nun auf Importieren. Es erscheint das in Windows typische Dateiauswahlfenster. Positionieren Sie dort auf das vorher temporär gespeicherte Zertifikat und klicken Sie auf Öffnen. Sie kehren zum Fenster mit der Übersicht der Zertifikate zurück und finden hier nun den Eintrag des importierten Zertifikates. Sollten nun mehrere Zertifikate in der Liste zu finden sein, dann können Sie eines dieser Zertifikate markieren und dann den Button Als Standard festl. anklicken. Damit wird für eine geforderte Verschlüsselung einer E-Mail an diese Person dieses Zertifikat benutzt, wenn nicht explizit bei der Erstellung der Nachricht ein anderes Zertifikat gefordert wird. Schließen Sie nun alle Fenster und löschen Sie das temporär gespeicherte Zertifikat. 5. Zertifikatssperrlisten Im Zertifikat ist eine Information über den Verteilungspunkt von Zertifikatssperrlisten der ausstellenden Einrichtung enthalten. In diesen Listen werden die vom Zeitraum zwar noch gültigen, aber gesperrten und damit aktuell ungültigen Zertifikate geführt. Um diese Listen online prüfen zu können, muss die entsprechende Applikation, die das Zertifikat prüfen soll (i.d.r. der Mailclient), auf diese Liste zugreifen können. Bei Betrieb einer lokalen (oder zentralen) Firewall muss dieser Zugriff freigegeben werden. Der Zugriff ist von der Konfiguration des Servers der Zertifizierungsstelle abhängig und erfolgt entweder über HTTP (Port 80) oder über LDAP (Port 389). Über die Administration der Firewall informieren Sie sich bitte in den entsprechenden Handbüchern oder bei Ihrem DV-Betreuer.

31 6. Praktische Anwendung Nachdem nun alle für die praktische Nutzung erforderlichen Vorarbeiten abgeschlossen sind, kann das Zertifikat benutzt werden. 6.1 Signieren einer E-Mail Schritt 1: Öffnen Sie Outlook und wählen Sie im Menü Neu E-Mail-Nachricht. Verfahren Sie zunächst wie üblich und erzeugen Sie die Anschrift, das Subject und den Text. Fügen Sie bei Bedarf auch Anlagen bei.

32 Schritt 2: Wählen Sie nun Optionen. Klicken Sie auf Sicherheitseinstellungen.

33 Schritt 3: Falls Sie mehr als ein Zertifikat besitzen, können Sie nun bei Bedarf Einstellungen ändern wählen. Nun öffnet sich ein Fenster, in dem Sie die aktuell gewählten Zertifikate sehen können. Wenn Sie hier auf Auswählen klicken, erhalten Sie eine Übersicht über Ihre Zertifikate. Markieren Sie hier das gewünschte Zertifikat und klicken Sie auf OK. Sie kehren zum Fenster zur Änderung der Sicherheitseinstellungen zurück. Klicken Sie auch hier auf OK. Das Fenster Sicherheitseigenschaften wird wieder aktiv.

34 Setzen Sie die Optionen Diese Nachricht digital signieren, Signatur und Klartext senden Und wählen Sie anschließend OK. Sie kehren nun zum Fenster Nachrichtenoptionen zurück. Wählen Sie dort Schließen. Sie kehren zum Fenster zur Erstellung einer E-Mail zurück und klicken wie gewohnt auf Senden. Danach werden Sie abhängig von der von Ihnen gewählten Sicherheitsstufe möglicherweise nach einem Passwort für Ihren privaten Schlüssel gefragt. Hier verwenden Sie das Passwort, dass Sie beim Import Ihres Zertifikats in den Zertifikatsspeicher vergeben haben. 6.2 Verschlüsseln einer E-Mail Führen Sie die Schritte 1 und 2 wie unter 6.1 aus. Verfahren Sie zunächst wie üblich und erzeugen Sie die Anschrift, das Subject und den Text. Fügen Sie bei Bedarf auch Anlagen bei. Schritt 3:

35 Wählen Sie nun Nachrichten und Anlagen verschlüsseln und dann OK. Sie kehren nun zum Fenster Nachrichtenoptionen zurück. Wählen Sie dort Schließen. Sie kehren zum Fenster zur Erstellung einer E-Mail zurück und klicken wie gewohnt auf Senden. 6.3 Signieren und Verschlüsseln einer E-Mail Die unter 6.1 und 6.2 beschriebenen Verfahren können Sie für eine E- Mail auch kombinieren. Verfahren Sie dazu wie unter 6.1, markieren aber im Schritt 3 zusätzlich die Option Nachrichten und Anlagen verschlüsseln. 6.4 Standard für Sicherheitseinstellungen setzen Wenn Sie bei einer neu erstellten E-Mail die Optionen nicht explizit wie unter 6.1 bzw. 6.2 setzen oder die Einstellungen zur Signaturauswahl nicht explizit ändern wie unter 6.1 Schritt 3, nutzt Outlook die voreingestellten Standardoptionen. Dies gilt sowohl für die Signatur als auch für die Verschlüsselung. Sie können diese Standardeinstellungen nach Ihren Wünschen verändern, um beim Versand von E-Mails nicht erneut die unter 6.1 bzw. 6.2 beschriebenen Schritte durchlaufen zu müssen. 6.4.1 Standard für Sicherheitsniveau und eigene Signatur setzen Öffnen Sie Outlook und wählen Sie im Menü Extras Optionen. Wählen Sie die Registerkarte Sicherheit.

36 Hier können Sie nun die entsprechenden Optionen für das Sicherheitsniveau setzen. Ebenso können Sie vorausgesetzt, Sie haben mehrere Zertifikate über Einstellungen auch das standardmäßig zu benutzende Zertifikat auswählen. Mit OK für alle Fenster verlassen Sie die Konfiguration. 6.4.2 Standard für Verschlüsselung setzen Da für die Verschlüsselung einer E-Mail nicht Ihr eigenes Zertifikat, sondern der öffentliche Schlüssel des Empfängers benutzt wird, werden die Standards für die Verschlüsselung in den Kontakten von Outlook gesetzt. Dazu müssen Sie in jedem Kontakt, der mehr als ein Zertifikat enthält, gemäß Punkt 4.3.2 Schritt 2 ein Standardzertifikat festlegen, das bei Versendung einer E-Mail für diesen Kontakt verwendet werden soll.