Im Folgenden wird beschrieben, wie sie den Standard-E-Mail-Client unserer BSI-konformen ZDM-Clients, MS Outlook konfigurieren, um E-Mails zu signieren und bei Bedarf zu verschlüsseln. Bitte beachten Sie, dass beim Signieren keine besonderen Voraussetzungen bei den E-Mail-Empfangenden benötigt werden. Beim Verschlüsseln müssen die Empfangenden über die gleichen Möglichkeiten verfügen, sprich ebenfalls über ein Nutzerzertifikat verfügen. Für das Versenden einer verschlüsselten E-Mail benötigen Sie zwingend den öffentlichen Schlüssel der jeweils Empfangenden.
Als Voraussetzung für die Outlook-Konfiguration muss zuvor Ihr persönliches Nutzerzertifikat (»Vorname-Nachname... .p12«) in den Windows-Zertifikatsspeicher importiert worden sein (siehe dazu auch Anleitung auf der Seite »Nutzerzertifikat abholen und importieren«).
Anleitung: Signieren von E-Mails
Schritt 1: Öffnen Sie Outlook und klicken Sie auf »Datei«.
Schritt 2: Klicken Sie auf dann auf »Optionen«.
Schritt 3: Klicken Sie in den Outlock-Optionen links auf »Trust Center« und dann rechts auf »Einstellungen für das Trust Center ...«.
Schritt 4: Klicken Sie links auf »E-Mail-Sicherheit«. Wählen Sie die markierten Features aus. Unter Standardeinstellung wird Ihr Zertifikat angezeigt, das zuvor in den Windows-Zertifikatsspeicher importiert werden musste.
Klicken Sie hier auf »Einstellungen...«.
Das Fenster »Sicherheitseinstellungen ändern« öffnet sich. Passen Sie die Signatur- und Verschlüsselungs-Algorithmus wie in der Abbildung zu sehen an. Klicken Sie auf »OK«.
Bei jeder neuen Mail ist »Signieren« jetzt standardmäßig ausgewählt. Ihre versendeten E-Mails werden jetzt immer signiert. Hiermit wird sichergestellt, dass sie tatsächlich die Absendenden sind und der Inhalt der E-Mail seit dem Versenden nicht mehr verändert wurde.
Verschlüsseln von E-Mails
Nach Abschluss der Konfiguration für das Signieren von E-Mails haben Sie zusätzlich die Möglichkeit, Inhalte von E-Mails zu verschlüsseln. Dies ist z.B. sinnvoll, wenn Sie sensible Daten per E-Mail übermitteln möchten. Klicken Sie dafür bei einer neuen E-Mail auf die Schaltfläche »Verschlüsseln«.
Voraussetzung für die Nutzung ist, dass auch die jeweils Empfangenden über ein Nutzerzertifikat verfügen. Zusätzlich benötigen Sie den öffentlichen Schlüssel der Empfangenden. Diesen erhalten sie am einfachsten, wenn Sie sich zuvor von der Person eine signierte E-Mail zusenden lassen. Sie können dann auf Antworten gehen, Betreff und Inhalt anpassen, unter Optionen Verschlüsseln durch Anklicken auswählen und die Mail absenden. Outlook besitzt dann den öffentlichen Schlüssel des Empfängers und findet diesen bei der Erstellung von Folgemails.
Einbindung des Verzeichnisdiensts der »DFN-PKI« in Outlook
Gültige Nutzerzertifikate aus der DFN-PKI Global, deren Veröffentlichung bei der Beantragung zugestimmt wurde, können im öffentlichen LDAP-Verzeichnisdienst der »DFN-PKI« abgerufen werden. Abgelaufene und gesperrte Zertifikate werden entfernt.
ACHTUNG:
S/MIME-Zertifikate aus GÉANT TCS, können nur von der Einrichtungen abgerufen werden, die sicherstellen, dass diese veröffentlicht werden dürfen und die mit dem DFN eine Vereinbarung getroffen haben. Für die Bauhaus-Universität trifft das nicht zu! Aufgrund dieser speziellen Bedingungen wird der Großteil der S/MIME-Zertifikate anderer Einrichtungen ebenfalls nicht in diesem Verzeichnis veröffentlicht.
Zertifikate aus der DFN-Verein Community PKI werden nicht veröffentlicht, da diese aufgrund der fehlenden Verankerung in E-Mail-Programmen nicht vorrangig für S/MIME-Nutzung vorgesehen sind.
Im Folgenden ist das Einbinden des LDAP-Verzeichnisdienstes für Outlook beschrieben.
Schritt 1: Um den Verzeichnisdienst der »DFN-PKI« in Outlook einzubinden, gehen Sie bitte auf »Datei« – »Kontoeinstellungen«. Im Bereich »Konfoinformation« gehen Sie auch hier zu »Kontoeinstellungen«.
Schritt 2: Gehen Sie auf die Registerkarte »Adressbücher«, Klicken Sie auf »Neu« und wählen Sie »Internetverzeichnisdienst (LDAP)« aus. Klicken Sie auf »Weiter >«.
Schritt 3: Tragen Sie unter Servername »ldap.pca.dfn.de« ein und klicken Sie auf »Weitere Einstellungen ...«.
Schritt 4: Unter »Verbindungen« wird als Anzeigename der eben eingegebene Name »ldap.pca.dfn.de« übernommen. Bei »Verbindungsdetails" tragen Sie bitte unter »Anschluss:« »636« ein und setzen Sie den Haken bei »Secure Sockets Layer verwenden«.
Schritt 5: Wechseln Sie in auf »Suche« und tragen Sie unter »Suchbasis - Benutzerdefiniert:« »O=DFN-Verein,C=DE« ein und Klicken Sie auf »OK« und dann auf »Weiter«.
Schritt 6: Der Abschluss der Einstellungen wird angezeigt. Klicken Sie jetzt auf »Fertig stellen«. Als neu angelegtes Adressbuch wird jetzt der »DFN-PKI« Verzeichnisdienst angezeigt und kann nach einem Neustart von Outlook genutzt werden.
