Zunächst muss das Root CA Zertifikat der internen PKI (und optional die Zwischenzertifikate) auf dem SEPPmail Secure E-Mail Gateway unter X.509 Root Certificates mittels Import S/MIME root certificate.importiert werden. Dabei ist darauf zu achten, dass beim Import unter Options der Haken bei Automatically trust the imported X.509 Root Certificates gesetzt ist.

 

Weiterhin muss entschieden werden, ob für die IME Verschlüsselung ein auf dem SEPPmail Secure E-Mail Gateway selbst generiertes Zertifikat verwendet werden soll, oder ein importiertes Zertifikat eine anderen (meist der MS-PKI welche auch die S/MIME Zertifikate der internen Benutzer generiert) verwendet werden soll.

 

Soll ein importiertes Zertifikat verwendet werden, so wird die entsprechende PKCS#12 Datei in den Detaileinstellungen der jeweiligen Managed domain (EDIT MANAGED DOMAIN) in der Sektion Internal mail encryption über die Schaltfläche Import S/MIME key... hochgeladen.

Sofern der ausstellenden PKI nicht bereits vertraut wird (siehe oben), ist auch das Root CA Zertifikat dieser CA - wie oben beschrieben - unter X.509 Root Certificates zu importieren.

 

Soll ein vom SEPPmail Secure E-Mail Gateway selbst generiertes Zertifikat verwendet werden, so ist zunächst - sofern nicht bereits geschehen - die interne CA einzurichten. Abschliessend wird das Root CA Zertifikat der soeben eingerichteten CA über die Schaltfläche Download certificate der Sektion Backup heruntergeladen, damit es zur Verteilung - wie unter Infrastruktur beschrieben - bereit steht.

Im Anschluss ist in den Detaileinstellungen der jeweiligen Managed domain (EDIT MANAGED DOMAIN) in der Sektion Internal mail encryption über die Schaltfläche Generate new S/MIME key das IME Zertifikat zu generieren. Durch Klicken auf den Fingerprint des soeben generierten Zertifikates öffnet das zugehörige Detailmenü, in welchem das Zertifikat über die Schaltfläche Download certificate für das anschliessende Verteilen (siehe Infrastruktur, beziehungsweise GAL Eintrag erstellen) heruntergeladen werden kann. Weiterhin sollte die in den Zertifikatsdetails unter Issued to angezeigte E-Mail Address (beispielsweise domain-confidentiality-authority@ime.meinefirma.tld) zur weiteren Verwendung notiert werden (siehe auch Windows- / Outlook-Client).

 

Damit das SEPPmail Secure E-Mail Gateway E-Mails, welche an interne E-Mail Empfänger adressiert sind gemäss Verschlüsselungshierarchie mittels S/MIME verschlüsselt, müssen die öffentlichen Schlüssel (Zertifikate) der internen Empfänger auf dem SEPPmail Secure E-Mail Gateway bereit gestellt werden. Hierfür wird die interne CA in der Regel unter Mail Processing Ruleset generator als Key server vom Type «S/MIME» eingetragen, in etwa

 

 

 

Sollten nicht alle E-Mail Adressen des Unternehmens mit entsprechendem Schlüsselmaterial versorgt sein, so würden bei angeforderter interne Verschlüsselung an interne Empfänger ohne eigenem Schlüssel GINA-Mails gesendet. In diesem Fall ist dringend das Einrichten der External authentication (siehe EDIT MANAGED DOMAIN) zu empfehlen, um das Anmelden an der GINA-Oberfläche mit dem internen Window-Passwort zu ermöglichen.