Zum Hauptinhalt springen

E-Mail-Zertifikate

E-Mails, die an ConSol CM gesendet und von ConSol CM empfangen werden, können mit normaler S/MIME-Verschlüsselung verschlüsselt werden. Es gibt zwei Arten von Zertifikaten:

  • Server-Zertifikate: Entschlüsseln eingehender E-Mails
  • Client-Zertifikate: Verschlüsseln ausgehender E-Mails

Server-Zertifikate können aus PKCS #12-Dateien mit der Erweiterung .p12 oder .pfx importiert werden. Sie sind passwortgeschützt und enthalten sowohl den öffentlichen Schlüssel als auch den privaten Schlüssel der E-Mail-Adresse, die in ConSol CM E-Mails empfängt. Sie müssen Server-Zertifikate für alle E-Mail-Adressen importieren, die zu den im Tab Konten der Seite E-Mail-Konfiguration definierten E-Mail-Konten gehören (siehe E-Mail-Konfiguration).

Client-Zertifikate können aus X.509-Dateien (mit Base64-Codierung) mit den Erweiterungen .cer, .crt, .der oder .pem importiert werden. Sie enthalten den öffentlichen Schlüssel der E-Mail-Adresse, zu der E-Mails aus ConSol CM gesendet werden, d. h. die E-Mail-Adressen der Kontakte. Client-Zertifikate können entweder manuell auf der Seite E-Mail-Zertifikate importiert werden, oder auf Anforderung aus LDAP importiert werden, siehe Konfigurieren von LDAP zum Abrufen von Client-Zertifikaten.

E-Mail-Verschlüsselung wird mit System-Properties und E-Mail-Zertifikaten konfiguriert, siehe Konfigurieren von E-Mail-Verschlüsselung.

Verfügbare Informationen über E-Mail-Zertifikate

Folgende Informationen sind sowohl für Client- als auch für Server-Zertifikate verfügbar:

  • Seriennummer: Seriennummer des Zertifikats
  • Gültig ab: Startdatum der Gültigkeit des Zertifikats
  • Gültig bis: Enddatum der Gültigkeit des Zertifikats
  • E-Mail-Adresse: Adresse des E-Mail-Kontos

Grundlegende Aufgaben

Konfigurieren von E-Mail-Verschlüsselung

Gehen Sie folgendermaßen vor, um E-Mail-Verschlüsselung aufzusetzen:

  1. Setzen Sie die System-Property cmas-core-server, mail.encryption auf "true". Damit wird die E-Mail-Verschlüsselung im gesamten System aktiviert.
  2. Setzen Sie das Attribut der Seitenanpassung mailEncryptionAvailable im Typ mailTemplate auf "true", wenn die Benutzer beim Schreiben einer E-Mail entscheiden dürfen, ob die E-Mail verschlüsselt wird oder nicht.
  3. Importieren Sie im Tab Server Server-Zertifikate zum Entschlüsseln eingehender E-Mails. Klicken Sie dazu auf den Button Zertifikat importieren und wählen Sie ein Zertifikat aus dem Dateisystem. Sie müssen das Passwort des Zertifikats eingeben, um es importieren zu können.
  4. Importieren Sie im Tab Client Client-Zertifikate zum Verschlüsseln ausgehender E-Mails. Klicken Sie dazu auf den Button Zertifikat importieren und wählen Sie ein Zertifikat aus dem Dateisystem. Sie müssen das Passwort des Zertifikats eingeben, um es importieren zu können.

Das Zertifikat wird vor dem Import validiert. Wenn es Inkompatibilitäten gibt, wird das Zertifikat nicht importiert.

Senden von verschlüsselten E-Mails

Wenn die E-Mail-Verschlüsselung konfiguriert ist, werden ausgehende E-Mails standardmäßig verschlüsselt. Im Web Client wird die Checkbox Verschlüsselt senden über dem E-Mail-Editor angezeigt, und ist standardmäßig ausgewählt. Der Benutzer kann sie deaktivieren, wenn die E-Mail nicht verschlüsselt werden soll. Wenn eine aus einem Skript gesendete E-Mail nicht verschlüsselt werden soll, können Sie mit der Methode disableEncryption() aus der Klasse Mail eine unverschlüsselte E-Mail senden.

Erweiterte Aufgaben

Konfigurieren von LDAP zum Abrufen von Client-Zertifikaten

Wenn die Client-Zertifikate im korrekten Format in einem LDAP-Repository gespeichert sind, können sie automatisch abgerufen werden, wenn eine E-Mail an die entsprechende Adresse gesendet wird.

Es müssen folgende System-Properties gesetzt sein:

  • cmas-core-server, ldap.certificate.basedn
  • cmas-core-server, ldap.certificate.searchattr
  • cmas-core-server, ldap.certificate.content.attribute

Wenn LDAP konfiguriert ist, werden die Zertifikate aus LDAP verwendet, wenn kein gültiges Client-Zertifikat im Tab Client der Seite E-Mail-Zertifikate importiert wurde. Wenn auch in LDAP kein gültiges Zertifikat gefunden wird, wird die E-Mail unverschlüsselt gesendet.

info

Die E-Mail-Adresse muss im Attribut SubjectDN (E= oder EMAILADDRESS=) oder im Element X509v3 Subject Alternative Name des Abschnitts Extensions des Zertifikats stehen.