Anleitung: Von Tobias Neumayer (support@thi.de) MAIL-VERSCHLÜSSELUNG / SIGNIERUNG Einführung Die meisten Mailprogramme unterstützen den Umgang mit S/MIME-Zertifikaten zur Verschlüsselung bzw. Signierung des E-Mail-Verkehrs. Auch auf Mobilen Geräten ist dies in der Regel möglich. Als Voraussetzung benötigen Sie ein persönliches S/MIME-Zertifikat, das Sie im Zentralen IT-Service beantragen können. Ihr persönliches Zertifikat können Sie auf der Seite http://www.thi.de/cert unter der Registerkarte Nutzerzertifikat beantragen. Für die Beantragung ist einerseits ein Webbrowser wie z.b. Firefox notwendig und andererseits muss das letztendlich erhalte S/MIME-Zertifikat in ein S/MIME-fähiges Email-Programm, wie z.b. Microsoft Outlook importiert werden um es mit diesem Programm nutzen zu können Im Folgenden finden Sie eine Schritt für Schritt Anleitung für die Beantragung und Installation des persönlichen Zertifikats für S/MIME unter Verwendung der weit verbreiteten Werkzeuge Mozilla Firefox und Microsoft Outlook. Einrichtung von S/MIME zur Signierung und Verschlüsselung von Mail am Beispiel von Firefox und Microsoft Outlook Voraussetzung für das Signieren bzw. Verschlüsseln von Mails über S/MIME ist ein persönliches S/MIME Zertifikat, das beim Zentralen IT-Service beantragt werden kann. Ein solches Zertifikat besteht aus einem öffentlichen und einem weiteren privaten Schlüssel. Der öffentliche Teil darf und sollte öffentlich gemacht werden, damit andere Personen in der Lage sind verschlüsselte Mails an den Eigentümer des Schlüssels zu versenden. Der private Teil des eigenen Zertifikats darf unter keinen Umständen öffentlich werden! Jeder, der den privaten Schlüssel besitzt, könnte sich damit in einer Mail in betrügerischer Art und Weise als der rechtmäßige Besitzer des Schlüssels ausweisen. 1
Was geschieht bei der Antragstellung Um ein S/MIME-Zertifikat zu erhalten muss ein entsprechender Antrag gestellt werden, bei dem der Antragsteller seine Mail-Adresse und seinen Namen angeben muss. Die Erstellung des Zertifikats erfolgt mit Hilfe des DFN-Vereins. Auf technischer Seite passiert im Verlauf der Antragstellung folgendes: Mit dem Eintragen der eigenen Daten (Mail, Name) auf der DFN-Webseite wird im verwendeten Webbrowser ein Zertifikat generiert, das aus einem öffentlichen und einem privaten Teil besteht. Beim Besuch der DFN-Seite wird nach der Erstellung des öffentlichen und privaten Schlüssels im Browser nur der öffentliche Teil des Schlüssels zum DFN-Verein übertragen. Dieser öffentliche Schlüssel wird von DFN nach Prüfung der Authentizität des Antragstellers mit dem DFN-Zertifikat unterschrieben und dann per Mail an den Antragsteller zurück gesendet. Dadurch bestätigt der DFN das der Benutzer, der den Antrag gestellt hat, tatsächlich die Person ist, die durch die Angabe des Namens und der Mail-Adresse im Webformular benannt wurde. Um das bestätigen zu können muss daher der Antragsteller im Laufe des Verfahrens persönlich mit seinem Personalausweis bzw. Reisepass bei der Zertifizierungsstelle an der Technischen Hochschule Ingolstadt bei Herrn Dieter Hauner (nach telefonischer Vereinbarung) in Raum D402 vorstellig werden. Erst dann kann die Technische Hochschule Ingolstadt dem DFN-Verein die Authentizität des Antragstellers bescheinigen woraufhin wie oben beschrieben der DFN-Verein mit seiner digitalen Unterschrift das neu erstellte Zertifikat des Nutzers unterschreibt. Wird der vom DFN-Verein unterschriebene öffentliche Schlüssel des Zertifikats nun in den Browser des Antragstellers importiert mit dem zuvor die DFN-Webseite zur Antragstellung besucht wurde, erhält der Browser nun ein vollständiges Zertifikat (bestehend aus einem privaten und öffentlichen Teil) wobei dieses Zertifikat jetzt durch den DFN beglaubigt ist. Antragstellung Schritt für Schritt Im Folgenden wird der komplette Antragstellungsprozess zusammen mit der Nutzbarmachung der dann zugeteilten Zertifikate Anhand von Mozilla Firefox und Microsoft Outlook dargestellt. Im ersten Schritt muss auf der Webseite des DFN http://www.thi.de/cert das (Nutzer) Zertifikat beantragt werden. 2
Auf der Webseite muss die eigene Mail-Adresse angegeben werden, für die das Zertifikat erstellt werden soll, als auch der eigene Name (wichtig: Nur Vor- und Nachname, verwenden Sie keine Umlaute) eine Abteilung und ein Passwort (PIN), das dazu verwendet werden kann das Zertifikat bei Bedarf zu sperren. Nützlich ist es der Veröffentlichung des Zertifikats zuzustimmen, da es hierdurch möglich ist über den LDAP-Server des DFN-Vereins durch eine Suche nach einer Mail-Adresse an den öffentlichen Teil des Zertifikats der Person zu gelangen. Der öffentliche Teil des Zertifikats einer Mail- Adresse wird z.b. benötigt, wenn man eine verschlüsselte Mail an diese Adresse versenden möchte. Über den Weiter -Button gelangt man zur nächsten Seite auf der der Zertifikatsantrag angezeigt werden kann. Durch Klick auf den Button Zertifikat anzeigen erhält man eine PDF-Datei mit den Antragsdaten. Zunächst muß der Zertifikats-Antrag heruntergeladen werden: Der heruntergeladene Antrag sieht in etwa wie folgt aus: 3
Die PDF-Datei muss ausgedruckt, unterschrieben und anschließend an den Zentralen IT-Service bei Herrn Dieter Hauner (nach telefonischer Vereinbarung, D402) unter Vorlage des eigenen Personalausweises bzw. Reisepasses abgegeben werden. Durch Vorlage des Ausweises kann sichergestellt werden, dass der Antragsteller für das Zertifikat wirklich die auf dem Zertifikatsantrag angegebene Person ist. Nachdem der Antrag vom IT-Service bearbeitet wurde, erhalten Sie an die auf dem Antrag stehende Mail-Adresse eine Mail in der die weiteren Schritte beschrieben werden. Importieren des persönlichen Zertifikats In der Mail, die als Reaktion auf den eingereichten Antrag von ra @ uni-koblenz.de an den Antragsteller versendet wurde beschrieben ist, muß im nächsten Schritt zunächst das Zertifikat des DFN-Vereins und dann das eigene Zertifikat in den Webbrowser importiert werden. Es muss hierzu genau der Browser auf genau dem Rechner verwendet werden, von dem aus zuvor auf der DFN-Seite das Zertifikat beantragt wurde! Die erhaltene Mail enthält zusätzlich den öffentlichen Teil des Zertifikats, der alternativ zum Anklicken des Links "eigenes Zertifikat herunterladen" abgespeichert und manuell in den Browser importiert werden kann. Einfacher ist jedoch das im folgenden beschriebene Anklicken des entsprechenden Links: 4
Der erste Link dient dazu alle notwendigen Zertifikate des DFN-Vereins zu importieren, Nach einem Klick auf den 1. Link erscheint folgende Webseite mit deren Hilfe die Zertifikate des DFN-Vereins importiert werden können: Der eigentliche Import erfolgt jetzt ganz einfach indem man nacheinander auf die Schaltflächen Wurzelzertifikat, DFN-PCA-Zertifikat, RHRK CA in der DFN PKI Zertifikat geklickt wird. Dabei kann es vorkommen, dass der Browser eine Meldung anzeigt, dass das jeweilige Zertifikat schon im Browser bekannt ist, was kein Problem darstellt. Im Anschluss an den Import der DFN-Zertifikate muß jetzt mit Hilfe des zweiten Links aus der Mail das persönliche Zertifikat importiert werden: 5
Unter Umständen erscheint nach dem Klick auf den Button Zertifikat importieren eine Meldung des Browsers, das der Vorgang erfolgreich beendet wurde. Wurde für den Beantragungsvorgang Firefox als Browser verwendet, kann das jetzt vollständig importierte Zertifikat unter dem Menüpunkt Einstellungen->Erweitert->Zertifikate Anzeigen im Tab Ihre Zertifikate angesehen werden: Übertragung des Zertifikats in das verwendete Mail-Programm Der eigentliche Zweck des S/MIME Zertifikats ist ja die Möglichkeit Mails zu schreiben, die man signieren kann, so dass der Empfänger anhand der Signatur des Absenders sicher entscheiden kann ob die Mail wirklich von diesem Absender stammt. Zudem kann mit Hilfe des Zertifikats eine Mail auch komplett verschlüsselt werden, so dass nur der Empfänger sie lesen kann. Voraussetzung hierzu ist jedoch, dass das beantragte Zertifikat in das verwendete Mail-Programm importiert wurde. Bis jetzt ist das Zertifikat nur dem Webbrowser bekannt. Der Transfer des Zertifikats erfolgt, indem es im Webbrowser in einer Datei gesichert und dann im Mail-Programm importiert wird. 6
Sichern des in Firefox gespeicherten Zertifikats Das Sichern eines Zertifikats erfolgt in Firefox im Menü Einstellungen->Erweitert->Zertifikate anzeigen im Tab Ihre Zertifikate: In diesem Dialog den Button Sichern wählen. Im nächsten Schritt muss eine Datei angegeben werden, in die das Zertifikat gesichert werden soll. Wichtig ist das Dateiformat. Hier sollte PKCS12 gewählt werden: Beim Verlassen des Dateiauswahldialogs mit OK erscheint jetzt ein Dialog in dem ein Passwort eingegeben und zur Sicherheit noch einmal wiederholt werden muss. Das Passwort wird später beim Importieren in das Mail-Programm wieder benötigt. Anschließend steht das eigene Zertifikat in der gewählten Datei und kann nun vom Mail-Programm importiert werden. 7
Importieren des gesicherten Zertifikats in Microsoft Outlook Das Zertifikat muss nun an das persönliche E-Mail-Konto gebunden werden. Um ein Zertifikat in Microsoft Outlook importieren zu können, muss unter der Karteikarte Datei der Menüpunkt Optionen aufgerufen werden. Im Fenster Outlook-Optionen wird das Trust Center selektiert. Danach klickt man auf Einstellungen für das Trust Center Im linken Fenster wird E-Mail-Sicherheit ausgewählt. Im rechten Teil des Dialogfensters wird in der Kategorie Verschlüsselte E-Mail-Nachrichten die Schaltfläche Einstellungen selektiert. 8
Im Dialogfenster Sicherheitseinstellungen ändern wird in der Kategorie Zertifikate und Algorithmen neben dem Eingabefeld Signaturzertifikat: die Schaltfläche Auswählen... angeklickt. In dem Dialogfenster Zertifikat bestätigen wird das persönliche Zertifikat selektiert (hier: Tobias Neumayer) und mit OK bestätigt. 9
Das Dialogfenster Sicherheitseinstellungen ändern zeigt die zuvor ausgewählten Zertifikate an. Das Eingabefeld Name der Sicherheitseinstellung: erwartet einen beliebigen Bezeichner (hier: Tobias Neumayer). Der Gesamtdialog wird über OK beendet. Das Zertifikat ist jetzt an das persönliche E-Mail-Konto (hier: Tobias Neumayer) gebunden. Signieren von E-Mails mit Outlook 2010 Nachdem das persönliche Zertifikat importiert wurde, können E-Mails beim Versenden mit einer Signatur versehen werden. Erzeugen einer E-Mail mit persönlicher Signatur Nach dem Starten von Outlook wird über Neu... und dann "Neue E-Mail-Nachricht" eine neue E-Mail erzeugt. Um diese Nachricht zu signieren, wird auf der Registerkarte Optionen auf die Schaltfläche Signieren (rot eingekreist) geklickt. 10
Prüfen der Signatur einer empfangenen E-Mail Das Bild zeigt, wie ein Benutzer die Signatur einer E-Mail prüft. Voraussetzung dafür ist, dass der Empfänger die Root-Zertifikate der ausstellenden Zertifizierungsinstanzen in Outlook eingefahren hat. Nach dem Start von Microsoft Outlook wird im Posteingang die signierte E-Mail geöffnet. In der E- Mail befindet sich das Signatur-Symbol (hier: rot eingekreist), das anzeigt, dass die E-Mail signiert wurde. Durch Klicken auf das Signatur-Symbol werden die Informationen zur Signatur des Absenders angezeigt. Es öffnet sich das Dialogfenster "Digitale Signatur: Gültig", das alle Informationen zur Signatur von Tobias Neumayer auflistet. 11
3. Verschlüsseln von E-Mails mit Outlook 2010 E-Mails werden immer mit dem öffentlichen Schlüssel aus dem persönlichen Zertifikat des Empfängers verschlüsselt. Wenn beispielsweise Xaver Muster eine verschlüsselte E-Mail an Yvonne Muster senden will, benötigt er dazu den öffentlichen Schlüssel des persönlichen Zertifikates von Yvonne Muster. Öffentlichen Schlüssel des Empfängers verfügbar machen Wie kommt Xaver Muster an den öffentlichen Schlüssel aus dem persönlichen Zertifikat von Yvonne Muster? Es gibt verschiedene Methoden, öffentliche Schlüssel verfügbar zu machen. Hier wird ein möglicher Weg für Outlook 2010 beschrieben. Xaver lässt sich eine signierte E-Mail von Yvonne zusenden. Nach dem Öffnen der signierten E-Mail wird die Adresse des Absenders (hier: Yvonne) zu den Outlook-Kontakten hinzugefügt. Dazu wird die rechte Maustaste gedrückt, wenn sich der Mauszeiger über der E-Mail-Adresse von Yvonne Muster befindet. Aus dem Kontextmenü wird der Untermenüpunkt Zu Outlook-Kontakten hinzufügen... ausgewählt. 12
Der öffentliche Schlüssel von Yvonnes persönlichem Zertifikat kann jetzt über Anzeigen --> Zertifikate --> Eigenschaften eingesehen werden. Yvonne Musters E-Mail-Adresse und der öffentliche Schlüssel werden über das Symbol Speichern und schließen als neuer Kontakt in Outlook 2010 hinterlegt. 3.2 Erzeugen einer verschlüsselten E-Mail Xaver Muster besitzt jetzt den öffentlichen Schlüssel des persönlichen Zertifikates von Yvonne Muster. Er muss ihn benutzen, um eine verschlüsselte E-Mail an Yvonne zu schicken. Nachdem Xaver Muster eine E-Mail an Yvonne Muster verfasst hat, wird sie mit dem öffentlichen Schlüssel von Yvonne verschlüsselt. Dazu wird auf die Schaltfläche Verschlüsseln (rot eingekreist) geklickt. Anschließend wird die E-Mail versendet. Hinweis: Die E-Mail-Adresse des Empfängers muss exakt so geschrieben werden, wie sie im persönlichen Zertifikat des Empfängers enthalten ist. Ansonsten funktioniert das Verschlüsseln nicht. 13
3.3 Lesen einer verschlüsselten E-Mail Öffnet Yvonne die E-Mail von Xaver, wird sie automatisch entschlüsselt. Dazu benutzt Outlook den privaten Schlüssel des persönlichen Zertifikates von Yvonne Muster. Das Schloss-Symbol zeigt an, dass die E-Mail vom Absender (hier: Xaver Muster) verschlüsselt wurde. 4. Bekannte Probleme 4.1 Einige Mail-Klienten können unter Outlook 2010 verschlüsselte E-Mails nicht entschlüsseln Unter Outlook 2010 verschlüsselte E-Mails können nicht von allen Mail-Klienten entschlüsselt werden. Im Zentralen IT Service betraf dieses Problem besonders den Mail-Klienten Thunderbird. Genaue Informationen finden sich unter dem folgenden Link: Einige E-Mail-Clients können E-Mail, die von Outlook 2010 gesendet wird, nicht entschlüsseln. 14