Wie in der Beschreibung des Microsoft Outlook Add-In für Interne Verschlüsselung IME 2.0 bereits erwähnt, muss dem Outlook Client Schlüsselmaterial für das Signieren und Verschlüsseln der erzeugten Container-E-Mail bereitgestellt werden.
Im Regelfall werden alle am Windows- / Outlook-Client benötigten Zertifikate über die Windows Group Policy Objects (GPOs) ausgerollt.
Für die Signaturschlüssel (S/MIME) der internen Benutzer ist eine interne CA erforderlich. Meist ist das eine Microsoft PKI, welche bereits für die Schlüsselverwaltung zur Absicherung des internen Netzwerkverkehrs vorhanden ist. Über diese PKI werden nun zusätzlich für alle E-Mail Adressen S/MIME Schlüsselpaare (PKCS#12) ausgestellt und für die jeweils zugehörigen Benutzer ausgerollt. Im Windows Zertifikatsspeicher der Clients sollte das Schlüsselpaar somit in
Zertifikate - Aktueller Benutzer / Eigene Zertifikate
abliegen.
Weiterhin sollte diese PKI eine LDAP-Key-Server-Funktion für den automatisierten Bezug der öffentlichen Schlüssel (Zertifikate) der für die internen Benutzer ausgestellten S/MIME Zertifikate bereit stellen. Über diese Funktion bezieht das SEPPmail Secure E-Mail Gateway im produktiven Betrieb die für das Verschlüsseln an interne Empfänger benötigten Zertifikate.
Natürlich muss dem Root CA Zertifikat dieser internen CA am Windows- / Outlook-Client vertraut werden, Das heisst, dieses Root Zertifikat muss dort unter
Zertifikate (lokaler Computer) / Vertrauenswürdige Stammzertifizierungsstellen
zu finden sein.
Für das eigentliche Verschlüsseln einer E-Mail vom MS Outlook Client bis zum SEPPmail Secure E-Mail Gateway muss weiterhin das IME Zertifikat für die jeweils eigene E-Mail Domäne, sowie das Root CA Zertifikat der ausstellenden CA dieses Zertifikates importiert werden. Beide Zertifikate sind hierfür zunächst - wie in SEPPmail Secure E-Mail Gateway beschrieben - zu generieren/importieren und ebenfalls auf die Windows- / Outlook-Client auszurollen.
Das Root Zertifikat sollte im Anschluss ebenfalls unter
Zertifikate (lokaler Computer) / Vertrauenswürdige Stammzertifizierungsstellen
das IME Zertifikat je nach Anwendungsfall unter
Zertifikate (lokaler Computer) / Andere Personen
beziehungsweise
Zertifikate - Aktueller Benutzer / Andere Personen
zu finden sein.
|
Der Ordner «Andere Personen» wird im Standard erst dann im Zertifikatsspeicher angelegt, wenn für einen Kontakt im Outlook-Adressbuch ein Zertifikat importiert wurde. Das heisst, für die E-Mail Adresse aus dem IME-Zertifikat sollte in der Global Address List (GAL) ein Eintrag mit dem zugehörigen Zertifikat erstellt werden. |
|
Zwischen dem Outlook Client und dem SEPPmail Secure E-Mail Gateway darf eine IME 2.0 verschlüsselte E-Mail nicht verändert werden, zum Beispiel durch Anhängen eines Disclaimers, da sonst die E-Mail vom SEPPmail Secure E-Mail Gateway nicht mehr als IME verschlüsselt erkannt wird. Wurde die E-Mail verändert, so würde im Detail-Log dieser E-Mail die Meldung no valid ime S/MIME message zu sehen sein. |
