Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails (Kerstin Ehrhardt) München 07.05.2007 1
1 Auswahl der Standard -Zertifikate... 3 2 LDAP Verzeichnisdienst einrichten... 4 3 Sperrlisten einrichten... 7 4 Einrichten der Schaltflächen für Verschlüsselung und Signatur... 8 2
1 Auswahl der Standard -Zertifikate Nach dem Import der Zertifikate müssen Sie diese in noch zuweisen. Starten Sie dafür und öffnen Sie im Menü Extras Konten den Karteireiter E-Mail, markieren Sie dort Ihr Postfachkonto und drücken die Schaltfläche Eigenschaften. Hier können Sie noch einmal alle Einstellungen für Ihr Konto ansehen und bearbeiten. Wählen Sie bitte den Karteireiter Sicherheit an. Auf dieser Seite können Sie die Zertifikate auswählen, die für Verschlüsselung und Signatur in Zusammenhang mit diesem Konto verwendet werden sollen. Falls Sie mehrere E-Mail-Konten verwenden, beispielsweise für Ihr persönliches Postfach und ein Funktionspostfach, können Sie dafür unterschiedliche Zertifikate einstellen bzw. Ihre Zertifikate nur für ein E-Mail-Konto benutzen. Im oberen Teil der Seite ist das Zertifikat für die Signatur auszuwählen, im unteren das Zertifikat für die Verschlüsselung. Drücken Sie dazu jeweils die Schaltfläche Auswählen. Für die Verschlüsselung muss zusätzlich der zu verwendende Verschlüsselungsalgorithmus angegeben werden, wählen Sie bitte 3DES aus. Beenden sie die Einstellung mit der Schaltfläche OK. 3
2 LDAP Verzeichnisdienst einrichten Die Zertifikate der Mitarbeiter in der öffentlichen Verwaltung werden zentral in einem LDAP Verzeichnisdienst des Behördennetzes veröffentlicht. Standardmäßig gibt es von den Mail Clients keine Sicht auf diese Informationen außer Ihre Behörde befindet sich im Exchange-Verbund (fragen Sie hierzu Ihren E-Mail Administrator). Um trotzdem an diese Informationen zu gelangen müssen LDAP Abfragen konfiguriert werden. Diese Arbeit sollte zweckmäßig von einem Administrator ausgeführt werden. Der folgende Abschnitt beschreibt eine Beispielkonfiguration. Eine Übersicht über alle möglichen LDAP Abfragen finden Sie unter https://www.pki.bayern.de Allgemeine Informationen Infrastruktur Zertifikatsabruf. Überprüfen Sie, ob für Sie der LDAP Verzeichnisdienst schon eingerichtet wurde. Öffnen Sie dafür im Menü Extras den Punkt Konten. Wählen Sie in dem neuen Fenster den Reiter Verzeichnisdienst. Mit der Schaltfläche Hinzufügen Verzeichnisdienst können Sie ein neues Verzeichnisdienstkonto erstellen, bzw. mit der Schaltfläche Eigenschaften ein schon vorhandenes Konto bearbeiten. 4
Wenn Sie einen neuen Verzeichnisdienst einrichten, werden Sie von einem Assistenten geleitet. Zunächst werden Sie nach dem Namen des LDAP-Servers gefragt. Eine Übersicht aller Möglichkeiten finden Sie unter der oben genannten Adresse. Falls eine Anmeldung an diesem Server notwendig ist, müssen Sie das entsprechende Optionsfeld aktivieren. Ob eine Anmeldung notwendig ist, entnehmen Sie bitte auch der Übersichtsliste. Auf der nächsten Seite werden Sie gefragt, ob dieses Verzeichnis zum Prüfen der Adressen verwendet werden soll. Aktivieren Sie das entsprechende Kästchen bitte. Klicken Sie auf Weiter. Damit wird der Assistent abgeschlossen. Klicken Sie dazu auf Fertig stellen. 5
Um den Verzeichnisdienst für unsere Zwecke zu verwenden, müssen Sie jedoch das soeben erstellte Konto noch nachbearbeiten. Markieren Sie das Verzeichnisdienstkonto und drücken die Schaltfläche Eigenschaften. Wie in den Grafiken dargestellt können Sie dem Verzeichnisdienst einen anderen Namen geben. Im Karteireiter Erweitert ist der Punkt Suchbasis interessant. Für viele LDAP- Verzeichnisdienste benötigen Sie eine Suchbasis. Sie ist sozusagen der Startpunkt der Suche im Verzeichnis. Genauere Angaben hierzu finden Sie in der Übersichtsliste. Wenn Sie mehrere LDAP-Verzeichnisdienste verwenden, möchten Sie möglicherweise die Reihenfolge einstellen, nach der die Suche in den einzelnen Verzeichnissen abläuft. Dies können Sie ebenfalls im Fenster Internetkonten (, Menü Extras Konten) tun. Drücken Sie dafür die Schaltfläche Reihenfolge (siehe mittlere Abbildung auf der vorhergehenden Seite). Sie sehen dann eine Übersicht aller Verzeichnisse, die zum Abgleich Ihrer Adressen eingerichtet wurden. Mit den Schaltflächen Nach oben bzw. Nach unten können Sie markierte Verzeichnisdienste in die gewünschte Reihenfolge bringen. 6
3 Sperrlisten einrichten In Sperrlisten sind Zertifikate verzeichnet, die vor Ablauf ihrer allgemeinen Gültigkeit von drei Jahren gesperrt wurden, z.b. weil der private Schlüssel bekannt geworden ist. Zertifikate bleiben nur so lange auf einer Sperrliste bis sie ohnehin ungültig würden, weil der Gültigkeitszeitraum abgelaufen ist. Auch Sperrlisten haben eine bestimmte Gültigkeitsdauer. Die meisten CAs im Behördennetz erstellen täglich neue Sperrlisten mit einer Gültigkeitsdauer von 1 Tag. kann so eingerichtet werden, dass die benötigten Sperrlisten automatisch geholt und für die Prüfung der Benutzerzertifikate herangezogen werden. Öffnen Sie dafür im Menü Extras Optionen den Karteireiter Sicherheit und drücken dort die Schaltfläche Erweitert. Im neuen Fenster im unteren Abschnitt Zertifikate prüfen wählen Sie bitte die Option Nur wenn online. 7
4 Einrichten der Schaltflächen für Verschlüsselung und Signatur In starten Sie mit der Schaltfläche Neue E-Mail das Schreiben einer neuen Nachricht. In dem E-Mail Fenster sehen Sie evtl. schon die Schaltflächen Nachricht digital signieren und Nachricht verschlüsseln. Wenn nicht, prüfen Sie im Menü Ansicht Symbolleisten, ob die Standardschaltflächen aktiviert sind. Ist dies der Fall und Sie sehen trotzdem genannte Schaltflächen nicht, wählen Sie bitte das Menü Ansicht Symbolleisten Anpassen. Hier haben Sie die Möglichkeit, die von Ihnen benötigten Schaltflächen auszuwählen bzw. nicht benötigte zu entfernen. Beenden Sie die Aktion mit der Schaltfläche Schließen. 8