Open Thema mit Navigation

E-Mail-Verschlüsselung

Einleitung

Aufgrund von Sicherheitsrichtlinien ist es möglicherweise erforderlich, den E-Mail-Verkehr (einschließlich der E-Mails, die das ConSol CM-System sendet und erhält) mit Standard-S/MIME-Verschlüsselung zu verschlüsseln. Falls Sie mit dem Thema nicht vertraut sind und sich gerne informieren möchten, könnten Sie z. B. den Wikipedia-Artikel über Public-Key-Verschlüsselungsverfahren lesen.

Damit ConSol CM verschlüsselte E-Mails verwenden kann, müssen Sie zuerst die E-Mail-Verschlüsselung im System aktivieren:

1. Obligatorisch:
   Setzen Sie die System-Property cmas-core-server, mail.encryption auf true. Sie hat standardmäßig den Wert false. Dies ist die grundlegende Konfiguration, um die E-Mail-Verschlüsselung im gesamten System zu aktivieren.
2. Optional:
   Setzen Sie das Attribut der Seitenanpassung mailEncryptionAvailable auf true. Damit wird im Web Client eine Option aktiviert, mit der man aussuchen kann, ob die E-Mail verschlüsselt werden soll.

Allgemeine Erklärung über die E-Mail-Verschlüsselung in ConSol CM

Es gibt zwei Arten von Zertifikaten:

• Server-Zertifikate, hauptsächlich genutzt für eingehende E-Mails
  Ein Zertifikat mit dem Public Key und dem Private Key der für den Empfang von E-Mails konfigurierten E-Mail-Adresse kann aus einer PKCS12-Datei (.p12 bzw. .pfx) manuell ins CM-System importiert werden. Wenn das Zertifikat durch ein Passwort geschützt ist, muss der Administrator dieses beim Importieren des Zertifikats eingeben.
• Client-Zertifikate, genutzt für ausgehende E-Mails
  Für ausgehende E-Mails werden die Zertifikate (Public Keys) der jeweiligen Empfänger benötigt. Diese Zertifikate können auf zwei Wegen ins CM-System importiert werden
  
  • Manuell
    Durch Auswählen (Hochladen) der X.509-Datei (.cer oder .crt).
  • Automatisch
    Aus dem LDAP-Repository, in dem es im richtigen Format gespeichert ist (d. h. dem gleichen Format wie für den Datei-Import). Dieser automatische Abruf des angeforderten Zertifikats kann "on-the-fly" beim Senden der E-Mail durchgeführt werden.

Die hier beschriebenen Zertifikate werden nur für die Verschlüsselung von E-Mails verwendet und gelten nicht für den Zugang von ConSol CM (als E-Mail-Client) zum E-Mail-Server! Dieser muss mithilfe von Zertifikaten verwaltet werden, die im Security Store des Application Servers gespeichert sind.

Die folgende Abbildung zeigt das Grundprinzip der E-Mail Verschlüsselung für ein- und ausgehende E-Mails in ConSol CM.

Abbildung 362: Grundprinzip der E-Mail-Verschlüsselung in ConSol CM

Anforderungen

• Das Client-Zertifikat muss die E-Mail-Adresse des Kunden (Empfänger der E-Mail) entweder im Attribut SubjectDN (E= oder EMAILADDRESS=) oder im Element X509v3 Subject Alternative Name des Abschnitts Extensions enthalten.
• Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files muss auf dem Server und auf dem Rechner, auf dem das Admin Tool gestartet wird, installiert sein. Dies ist erforderlich, damit das Admin Tool Zertifikate importieren kann.
• Es werden in X.509 Base64 codierte Zertifikate unterstützt.

Importieren von Zertifikaten aus LDAP (verfügbar für Client-Zertifikate)

Wenn LDAP konfiguriert ist, sucht ConSol CM das Client-Zertifikat für den angeforderten Kontakt im LDAP-Repository. Dies läuft folgendermaßen ab:

1. Jemand versucht, eine verschlüsselte E-Mail zu senden.
2. Der Verschlüsselungsdienst sucht nach dem Client-Zertifikat (mit dem Public Key) des Empfängers.
3. Wenn ein Client-Zertifikat gefunden wird, wird die E-Mail mit dem Public Key des Empfängers verschlüsselt und gesendet.
4. Wenn kein Client-Zertifikat im Admin Tool gefunden wird oder das Client-Zertifikat abgelaufen ist, wird es im LDAP-Repository gesucht.
5. Wenn es gefunden wird, wird es nach ConSol CM importiert, und die E-Mail wird verschlüsselt und gesendet.
6. Wenn es nicht gefunden wird, wird die E-Mail unverschlüsselt gesendet.

Die folgenden Konfigurations-Properties müssen gesetzt werden, damit über LDAP nach Zertifikaten gesucht werden kann:

• ldap.certificate.basedn
• ldap.certificate.searchattr
• ldap.certificate.content.attribute

Details dazu finden Sie im Abschnitt LDAP-Zertifikatparameter in den System-Properties.

Zertifikatsverwaltung mit dem Admin Tool

Im Admin Tool wird die CM-Umgebung in den Navigationselementen Server-Zertifikate und Client-Zertifikate der Navigationsgruppe E-Mail für die E-Mail-Verschlüsselung konfiguriert.

Server-Zertifikate

Server-Zertifikate werden verwendet, um eingehende E-Mail-Nachrichten zu entschlüsseln. In Ausnahmefällen werden Server-Zertifikate auch genutzt, um ausgehende E-Mails zu verschlüsseln: Wenn eine E-Mail an eine der als Eingangs-E-Mails konfigurierten E-Mail-Adressen gesendet wird, wird der Public Key des Server-Zertifikates genutzt, um diese E-Mail zu verschlüsseln. Server-Zertifikate enthalten jeweils den Public Key und den Private Key für die angegebene E-Mail-Adresse. Wenn Sie ein Postfach für eingehende E-Mails definieren (siehe obiges Kapitel) müssen Sie ein Server-Zertifikat für diese E-Mail-Adresse (oder für alle E-Mail-Adressen dieses Postfachs) hochladen, um verschlüsselte Nachrichten erhalten zu können (da das Server-Zertifikat den entsprechenden Private Key enthält). Wenn Sie mehrere Eingangspostfächer haben, müssen Sie entweder ein Server-Zertifikat für jedes der Postfächer oder ein Zertifikat mit allen erforderlichen E-Mail-Adressen hochladen.

Wenn Sie das Navigationselement Server-Zertifikate öffnen, wird eine Liste aller vorhandenen Server-Zertifikate angezeigt. Um ein neues Server-Zertifikat hinzuzufügen, klicken Sie auf den Button Hinzufügen und suchen Sie das gewünschte Zertifikat im Dateibrowser. Das Zertifikat wird vor dem Import validiert. Wenn Inkompatibilitäten festgestellt werden, wird eine Fehlermeldung angezeigt und das Zertifikat wird nicht importiert.

Folgende Formate werden für Server-Zertifikate unterstützt:

• Archivdatei PKCS #12, die das Zertifikat (öffentlich) und den privaten Schlüssel (durch ein Passwort geschützt) enthält.
  Die für PKCS #12-Dateien unterstützten Dateinamenerweiterungen sind:
  • .p12
  • .pfx

Client-Zertifikate

Ein Client-Zertifikat enthält nur den Public Key eines externen Empfängers (z. B. eines Kunden). Es ermöglicht die Verschlüsselung von Nachrichten, die an diesen Benutzer gesendet werden, wird also für ausgehende E-Mails verwendet.

Wenn Sie das Navigationselement Client-Zertifikate öffnen, wird eine Liste aller vorhandenen Client-Zertifikate angezeigt. Um ein neues Client-Zertifikat hinzuzufügen, klicken Sie auf den Button Hinzufügen und suchen Sie das gewünschte Zertifikat im Dateibrowser. Das Zertifikat wird vor dem Import validiert. Wenn Inkompatibilitäten festgestellt werden, wird eine Fehlermeldung angezeigt und das Zertifikat wird nicht importiert.

Folgende Formate werden für Client-Zertifikate unterstützt:

• Standardformat X509.
  Die für X.509-Zertifikate unterstützten Dateinamenerweiterungen sind:
  • .cer
  • .crt
  • .der
  • .pem

Abbildung 363: ConSol CM Admin Tool - Pop-up-Fenster zum Hinzufügen eines Client-Zertifikats

Im Folgenden sind einige beispielhafte Anwendungsfälle beschrieben:

1. Ein Bearbeiter arbeitet im ConSol CM Web Client und schreibt mit dem Ticket-E-Mail-Editor eine verschlüsselte E-Mail. Wenn er auf den Button E-Mail versenden klickt, sucht das ConSol CM-System in der Liste der E-Mail-Adressen unter Client-Zertifikate nach der Empfängeradresse und verwendet den Public Key des Empfängers zur Verschlüsselung der ausgehenden E-Mail. Wenn ConSol CM kein passendes Zertifikat findet (d. h. die E-Mail-Adresse steht nicht in der Zertifikatsliste), wird das Zertifikat für die E-Mail aus LDAP geladen. Wenn auch dort kein kompatibles Zertifikat gefunden wird, wird die E-Mail unverschlüsselt gesendet.
   Wenn einer der Empfänger mit einem der Postfächer für eingehende E-Mails übereinstimmt, wird auch das Server-Zertifikat (Public Key) zum Verschlüsseln der Nachricht verwendet.
2. ConSol CM erhält eine E-Mail und überprüft die TO-Adresse. Wenn diese in der Liste unter Server-Zertifikate gefunden wird, verwendet ConSol CM den im Zertifikat angegebenen Private Key zur Entschlüsselung der Nachricht, um entweder ein neues Ticket zu erstellen oder die Nachricht an ein vorhandenes Ticket anzuhängen.

Senden von verschlüsselten E-Mails

Auswählen, ob E-Mails aus dem Web Client verschlüsselt gesendet werden sollen

Wenn das Attribut der Seitenanpassung mailEncryptionAvailable auf true gesetzt ist, ist im Ticket-E-Mail-Editor des Web Clients eine Checkbox Verschlüsselt senden verfügbar. Der Benutzer kann damit auswählen, ob die E-Mail verschlüsselt gesendet werden soll.

Abbildung 364: ConSol CM Web Client - Verschlüsselte E-Mail senden

Senden einer verschlüsselten E-Mail aus dem Workflow

Mit der Methode enableEncryption() kann eine verschlüsselte E-Mail gesendet werden. Eine detaillierte Beschreibung dazu finden Sie im ConSol CM Process Designer Handbuch.

Standardmäßiges Senden von verschlüsselten E-Mails

Wenn die System-Property cmas-core-server, mail.encryption auf true gesetzt ist, werden alle ausgehenden E-Mails aus dem Workflow und Web Client standardmäßig verschlüsselt.

Wenn Benutzer eine bestimmte E-Mail unverschlüsselt senden möchten, können sie im Web Client die Checkbox Verschlüsselt senden deaktivieren. Für aus dem Workflow gesendete E-Mails kann die Methode disableEncryption() verwendet werden.