S/MIME konfigurieren
BlueMind Webmail unterstützt S/MIME und ermöglicht es den Benutzern, ihre Nachrichten zu verschlüsseln und/oder zu signieren. BlueMind bietet jedoch keine PKI-Lösung an. Es obliegt dem Administrator, diese einzurichten und die PKCS#12-Datei(en) für jeden Benutzer, der das System nutzen möchte, zur Verfügung zu stellen.
Vertrauenswürdige Zertifizierungsstellen (CAs) importieren
Im S/MIME-Standard beruht das Vertrauen auf den Zertifizierungsstellen. Damit ein S/MIME-Client ein End-User-Zertifikat als vertrauenswürdig betrachten kann, muss die Zertifizierungsstelle, die das Zertifikat erstellt hat, als vertrauenswürdig eingestuft werden.
Es ist die Aufgabe des Administrators, die Zertifikate der CAs hinzuzufügen, die er benötigt und denen er vertraut. Zumindest müssen Sie das Zertifikat der intern genutzten Domäne hinzufügen, die zur Erstellung der Zertifikate ihrer Nutzer verwendet wurde.
Über den CLI
Um das Zertifikat einer CA hinzuzufügen, verwenden Sie den Befehl :
# bm-cli certificate add-smime --domain=devenv.blue --ca=cacert.pem
Und um die bereits hinzugefügten CA-Zertifikate aufzulisten :
# bm-cli certificate list-smime --domain=devenv.blue
Über die Verwaltungskonsole
Siehe Seite Verwaltung von Domänen
Es ist nicht möglich, die Zertifikatsliste über die Admin-Konsole anzuzeigen.
Verwaltung von Widerrufslisten (CRLs)
Wenn ein CA-Zertifikat importiert wird, prüft BlueMind, ob die Eigenschaft "X509v3 CRL Distribution Points" vorhanden ist. Mit dieser Eigenschaft können Sie angeben, wo die Widerrufslisten für diese CA zu finden sind. Wenn der BlueMind-Server darauf zugreifen kann, werden die Widerrufslisten abgerufen und die Webmail prüft für jedes Zertifikat, ob es widerrufen wurde.
S/MIME für einen Benutzer aktivieren
Rolle zuweisen
Damit ein Nutzer seine Nachrichten verschlüsseln und/oder signieren kann, muss ihm die entsprechende Rolle zugewiesen werden.
Hierzu :
- Gehen Sie auf die Seite Verzeichnisse > Verzeichniseinträge.
- Wählen Sie den gewünschten Benutzer oder die gewünschte Gruppe
- Weisen Sie die Rolle "S/MIME in Webmail zulassen" zu:
- Aufzeichnen
Importieren Sie öffentliche Zertifikate
Um den Austausch von verschlüsselten Nachrichten zu erleichtern, kann der Administrator die öffentlichen Zertifikate zu den Benutzerinformationen hinzufügen. Dies erspart den Nutzern die Notwendigkeit, sie zu importieren, wenn Das Zertifikat des Empfängers fehlt.
Um das/die öffentliche(n) Zertifikat(e) eines Nutzers zu importieren :
- Gehen Sie auf die Seite Verzeichnisse > Verzeichniseinträge.
- Wählen Sie den gewünschten Benutzer
- Gehen Sie auf die Registerkarte
Benutzerinformationen. - Klicken Sie auf
Mehr Felder hinzufügenund dann aufZertifikat (PEM)
- Fügen Sie das Zertifikat im PEM-Format hinzu
- Fügen Sie ggf. ein weiteres Zertifikat in das Feld ein, das bei der Eingabe des ersten Zertifikats automatisch erscheint.
- Aufzeichnen
Bereitstellung von PKCS#12-Dateien für die Nutzer
Senden Sie dem Nutzer seine PKCS#12-Datei(en) - je nach den Eigenschaften des Zertifikats und seinen Bedürfnissen - zum Import in seine E-Mail-Einstellungen für S/MIME-Verschlüsselung aktivieren.
Zertifikate können je nach ihrem Zweck unterschiedliche Eigenschaften haben. Ein Zertifikat kann entweder für die Verschlüsselung, entweder für die Signatur oder entweder für beides verwendet werden. Je nach Art des Zertifikats kann ein Nutzer daher mehrere Dateien haben - z.B. ein Zertifikat zum Verschlüsseln/Entschlüsseln und ein Zertifikat zum digitalen Signieren/Überprüfen seiner E-Mails.
Die im Zertifikat angegebene E-Mail-Adresse muss mit der Standard-E-Mail-Adresse des Benutzers übereinstimmen, sonst kann er das Zertifikat nicht in seine Einstellungen importieren. In dem Zertifikat wird die E-Mail-Adresse in der Eigenschaft subjectAltName oder im Feld emailAddress des Subjects gesucht.