E-Mail-Zertifikate
Einführung in E-Mail-Zertifikate in ConSol CM
E-Mails, die an ConSol CM gesendet werden und von ConSol CM empfangen werden, können mit normaler S/MIME-Verschlüsselung verschlüsselt werden. Server-Zertifikate werden zum Entschlüsseln eingehender E-Mails verwendet. Client-Zertifikate werden zum Verschlüsseln ausgehender E-Mails verwendet.
Konzepte, Begriffe und Definitionen
|
Konzept |
Andere Begriffe |
Definition |
|---|---|---|
|
Client-Zertifikat |
|
Zertifikat zum Verschlüsseln von E-Mails |
|
Server-Zertifikat |
|
Zertifikat zum Entschlüsseln von E-Mails |
|
E-Mail-Server |
|
Software, die E-Mail-Nachrichten zwischen Clients überträgt. Nicht Teil von ConSol CM. |
Zweck und Verwendung
Mit Server-Zertifikaten werden eingehende E-Mails entschlüsselt. Sie können aus PKCS #12-Dateien mit der Erweiterung .p12 oder .pfx importiert werden. Sie sind passwortgeschützt und enthalten sowohl den öffentlichen Schlüssel als auch den privaten Schlüssel der E-Mail-Adresse, die in ConSol CM E-Mails empfängt. Sie müssen Server-Zertifikate für alle E-Mail-Adressen importieren, die zu den im Tab Konten der Seite E-Mail-Konfiguration definierten E-Mail-Konten gehören (siehe E-Mail-Konfiguration).
Mit Client-Zertifikaten werden ausgehende E-Mails verschlüsselt. Sie können aus X.509-Dateien (mit Base64-Codierung) mit den Erweiterungen .cer, .crt, .der oder .pem importiert werden. Sie enthalten den öffentlichen Schlüssel der E-Mail-Adresse, zu der E-Mails aus ConSol CM gesendet werden, d. h. die E-Mail-Adressen der Kontakte. Client-Zertifikate können entweder manuell auf der Seite E-Mail-Zertifkate importiert werden, oder auf Anforderung aus LDAP importiert werden, siehe Konfigurieren von LDAP zum Abrufen von Client-Zertifikaten.
E-Mail-Verschlüsselung wird mit System-Properties und E-Mail-Zertifikaten konfiguriert, siehe Konfigurieren von E-Mail-Verschlüsselung.
Verfügbare Informationen über E-Mail-Zertifikate
Folgende Informationen sind sowohl für Client- als auch für Server-Zertifikate verfügbar:
-
Seriennummer: Seriennummer des Zertifikats
-
Gültig ab: Startdatum der Gültigkeit des Zertifikats
-
Gültig bis: Enddatum der Gültigkeit des Zertifikats
-
E-Mail-Adresse: Adresse des E-Mail-Kontos
Grundlegende Aufgaben
Konfigurieren von E-Mail-Verschlüsselung
Gehen Sie folgendermaßen vor, um E-Mail-Verschlüsselung aufzusetzen:
-
Setzen Sie die System-Property cmas-core-server, mail.encryption auf true. Damit wird die E-Mail-Verschlüsselung im gesamten System aktiviert.
-
Setzen Sie das Attribut der Seitenanpassung mailEncryptionAvailable im Typ mailTemplate auf true, wenn die Benutzer beim Schreiben einer E-Mail entscheiden dürfen, ob die E-Mail verschlüsselt wird oder nicht.
-
Importieren Sie im Tab Server Server-Zertifikate zum Entschlüsseln eingehender E-Mails. Klicken Sie dazu auf den Button Zertifikat importieren und wählen Sie ein Zertifikat aus dem Dateisystem. Sie müssen das Passwort des Zertifikats eingeben, um es importieren zu können.
-
Importieren Sie im Tab Client Client-Zertifikate zum Verschlüsseln ausgehender E-Mails. Klicken Sie dazu auf den Button Zertifikat importieren und wählen Sie ein Zertifikat aus dem Dateisystem. Sie müssen das Passwort des Zertifikats eingeben, um es importieren zu können.
Das Zertifikat wird vor dem Import validiert. Wenn es Inkompatibilitäten gibt, wird das Zertifikat nicht importiert.
Wenn Java 8 verwendet wird, muss Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files auf dem ConSol CM-Server und auf dem Computer, auf dem Web Admin Suite / Admin Tool verwendet werden, installiert sein.
Senden von verschlüsselten E-Mails
Wenn die E-Mail-Verschlüsselung konfiguriert ist, werden ausgehende E-Mails standardmäßig verschlüsselt.
Im Web Client wird die Checkbox Verschlüsselt senden über dem E-Mail-Editor angezeigt, und ist standardmäßig ausgewählt. Der Benutzer kann sie deaktivieren, wenn die E-Mail nicht verschlüsselt werden soll.
Wenn eine aus einem Skript gesendete E-Mail nicht verschlüsselt werden soll, können Sie mit der Methode disableEncryption() aus der Klasse Mail eine unverschlüsselte E-Mail senden.
Erweiterte Aufgaben
Konfigurieren von LDAP zum Abrufen von Client-Zertifikaten
Wenn die Client-Zertifikate im korrekten Format in einem LDAP-Repository gespeichert sind, können sie automatisch abgerufen werden, wenn eine E-Mail an die entsprechende Adresse gesendet wird.
Es müssen folgende System-Properties gesetzt sein:
- cmas-core-server, ldap.certificate.basedn
- cmas-core-server, ldap.certificate.searchattr
- cmas-core-server, ldap.certificate.content.attribute
Wenn LDAP konfiguriert ist, werden die Zertifikate aus LDAP verwendet, wenn kein gültiges Client-Zertifikat im Tab Client der Seite E-Mail-Zertifikate importiert wurde. Wenn auch in LDAP kein gültiges Zertifikat gefunden wird, wird die E-Mail unverschlüsselt gesendet.
Die E-Mail-Adresse muss im Attribut SubjectDN (E= oder EMAILADDRESS=) oder im Element X509v3 Subject Alternative Name des Abschnitts Extensions des Zertifikats stehen.