Zum Inhalt springen

Verwandeln Sie Ihre Kontakte in Urlaubsgeld mit unserem neuen Kundenempfehlungsprogramm! Erfahren Sie mehr

Voraussetzungen für die S/MIME Verschlüsselung

Einführung

Der E- Email-Konnektor ermöglicht Ihnen die Verwendung von S/MIME zum Signieren oder Signieren und verschlüsseln einer Email, bevor Sie diese mit der Aktivität Email senden senden, sowie zum Lesen von auf diese Weise signierten und/oder verschlüsselten Emails mithilfe der Aktivität Email lesen, aber in beiden Fällen benötigen Sie ein S/MIME-Zertifikat. Zusätzlich benötigen Sie eine Zertifizierungsstelle (CA), die Ihr Zertifikat signiert. Sie können aber auch Ihre eigene Zertifizierungsstelle sein. Auf dieser Seite erfahren Sie, wie das geht.

Zertifikate basieren auf Public-Key Verschlüsselung. Daher wird der öffentliche Schlüssel des Email benötigt, um die Email verschlüsseln zu können. Umgekehrt benötigt der Absender Ihren öffentlichen Schlüssel, um eine verschlüsselte Email zu empfangen.

Diese Seite beschreibt die Erstellung eines persönlichen öffentlichen/privaten Schlüsselpaares. Während Sie Ihren öffentlichen Schlüssel weitergeben müssen, um eine verschlüsselte Email von jemandem zu erhalten, sollten Sie Ihren privaten Schlüssel ausschließlich für sich behalten.

Schritt-für-Schritt-Anleitung

Obwohl auch andere Tools verwendet werden können, basieren die Anweisungen auf dieser Seite auf OpenSSL. Wenn Sie Windows verwenden, führen Sie die Eingabeaufforderung unbedingt als Administrator aus.

Schritt 1: Erstellen einer OpenSSL-Konfigurationsdatei

Wenn Ihre OpenSSL-Distribution bereits eine Standardkonfigurationsdatei mit den erforderlichen Erweiterungen enthält, ist dieser Schritt nicht erforderlich. Wenn Sie die openssl.exe Datei (aus dem Verzeichnis, in dem OpenSSL installiert ist). Falls keine Konfigurationsdatei vorhanden ist, wird eine Warnmeldung angezeigt.

Wenn Ihre Distribution keine Standardkonfigurationsdatei hat, erstellen Sie eine Datei mit dem Namen smime.cnf Enthält die folgende Konfiguration:

[req]
distinguished_name = req_distinguished_name

[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = AU
countryName_min = 2
countryName_max = 2
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Some-State
localityName = Locality Name (eg, city)
0.organizationName = Organization Name (eg, company)
0.organizationName_default = Internet Widgits Pty Ltd
organizationalUnitName = Organizational Unit Name (eg, section)
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_max = 64
emailAddress = Email Address
emailAddress_max = 64

[v3_ca]
basicConstraints = critical, CA:TRUE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always, issuer

[smime]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = emailProtection
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always, issuer
subjectAltName = email:copy

Stellen Sie als Nächstes Folgendes ein: OPENSSL_CONF Umfeld, um auf die neue Konfigurationsdatei zu verweisen. Geben Sie in einem Terminal den folgenden Befehl ein:

set OPENSSL_CONF=c:/openssl/smime.cnf

export OPENSSL_CONF=/usr/bin/openssl

Schritt 2: Generieren Sie einen privaten RSA-Schlüssel für die Zertifizierungsstelle

Um einen privaten RSA-Schlüssel für die neue Zertifizierungsstelle zu generieren, öffnen Sie ein Terminal. Im folgenden Beispiel wird die Verwendung von aes256 Verschlüsselung-Chiffre und geben Sie die Ergebnisse in eine Datei mit dem Namen ca.key mit einer Größe von 4096 Bit:

openssl genrsa -aes256 -out ca.key 4096

openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out ca.key

Sie werden aufgefordert, eine Passphrase für diesen Schlüssel zu erstellen. Bewahren Sie diese Passphrase für Schritt 3 auf.

Schritt 3: Erstellen Sie ein selbstsigniertes Zertifikat für die Zertifizierungsstelle

Öffnen Sie ein Terminal. Das folgende Beispiel gibt an, dass das generierte Zertifikat 10 Jahre gültig ist und den in Schritt 2 erstellten privaten Schlüssel verwendet. Der Befehl -x509 gibt an, dass es sich um ein selbstsigniertes Zertifikat handelt. Außerdem wird das Zertifikat in eine Datei mit dem Namen ca.crt.

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -extensions v3_ca

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -extensions v3_ca

Hinweis

Wenn Ihre OpenSSL-Distribution bereits über eine geeignete Konfigurationsdatei verfügt und Sie Schritt 1 übersprungen haben oben sollten Sie die -extensions v3_ca von diesem Befehl aus.

Sie werden eine Reihe von Eingabeaufforderungen sehen. Folgen Sie diesen und geben Sie die Passphrase aus Schritt 2 ein. Anschließend ist die Zertifizierungsstelle eingerichtet.

Schritt 4: Generieren Sie einen privaten Schlüssel für das persönliche Email-Zertifikat

Erstellen Sie anschließend einen neuen privaten Schlüssel. Dieser ist für Ihr persönliches Zertifikat und nicht für die Zertifizierungsstelle bestimmt. Das folgende Beispiel bezieht sich auf eine Person namens Jane Doe mit der Email-Adresse jane_doe@example.com und verwendet RSA.

openssl genrsa -aes256 -out smime_jane_doe.key 4096

openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out smime_jane_doe.key

Geben Sie bei entsprechender Aufforderung eine andere Passphrase ein als die, die Sie bei der Erstellung des privaten Schlüssels der Zertifizierungsstelle in [Schritt 1] verwendet haben.#createansmimecertificate-step-1). Bewahren Sie diese Passphrase für die Verwendung in Schritt 5 auf.

Hinweis

Sie müssen nicht unbedingt RSA verwenden, um einen privaten Schlüssel zu erstellen. Andere verfügbare kryptografische Algorithmen wie ECC können ebenfalls verwendet werden.

Schritt 5: Erstellen der Zertifikatsignieranforderung

Erstellen Sie die Zertifikatsignieranforderung, indem Sie den folgenden Befehl ausführen:

openssl req -new -key smime_jane_doe.key -out smime_jane_doe.csr

openssl req -new -key smime_jane_doe.key -out smime_jane_doe.csr

Geben Sie bei entsprechender Aufforderung die Passphrase ein, die Sie zum Erstellen des privaten Schlüssels in [Schritt 4] verwendet haben.#createansmimecertificate-step-4). Beachten Sie, dass Sie bei der Eingabe eines Common Name, geben Sie nicht dasselbe ein, das Sie in den Eingabeaufforderungen am Ende von Schritt 3.

Schritt 6: Signieren Sie das Zertifikat mit der Zertifizierungsstelle

Erstellen Sie das persönliche selbstsignierte Zertifikat mithilfe der in [Schritt 1] erstellten Konfigurationsdatei.#createansmimecertificate-step-1), um die erforderlichen Erweiterungen festzulegen. Die Zertifizierungsstelle wird zum Signieren des neuen persönlichen Zertifikats verwendet.

Führen Sie den folgenden Befehl aus (inkrementieren) set_serial mit jeder Signaturanforderung):

openssl x509 -req -days 3650 -in smime_jane_doe.csr-CA ca.crt-CAkey ca.key -set_serial 1 -out smime_jane_doe.crt -addtrust emailProtection -addreject clientAuth -addreject serverAuth -trustout -extfile c:\openssl\smime.cnf -extensions smime

openssl x509 -req -days 3650 -in smime_jane_doe.csr-CA ca.crt-CAkey ca.key -set_serial 1 -out smime_jane_doe.crt -sha256

Geben Sie bei entsprechender Aufforderung die Passphrase für den privaten Schlüssel der Zertifizierungsstelle aus Schritt 2 ein.

Hinweis

Wenn Ihre OpenSSL-Distribution bereits über eine geeignete Konfigurationsdatei verfügt und Sie Schritt 1 übersprungen haben oben entfernen Sie die letzten beiden Argumente aus dem in diesem Schritt angezeigten Befehl. Stellen Sie vorher sicher, dass die aufgeführten Erweiterungen in Ihrer Standardkonfigurationsdatei vorhanden sind.

Schritt 7: Generieren einer privaten Schlüsseldatei

Führen Sie den folgenden Befehl aus, um ein PKCS#12-Archiv zu erstellen (smime_cert.p12), das den privaten Schlüssel und das Zertifikat enthält:

openssl pkcs12 -export -in smime_cert.crt -inkey smime_cert.key -out smime_cert.p12

openssl pkcs12 -inkey smime_cert.key -in smime_cert.crt -export -out smime_cert.pfx

Geben Sie bei entsprechender Aufforderung die Passphrase Ihres in [Schritt 4] erstellten privaten Schlüssels ein.#createansmimecertificate-step-4). Erstellen Sie eine weitere Passphrase, die beim Importieren der .p12 Datei in einen Email Client. Bewahren Sie diese zweite Passphrase auf, da Sie beim Aktivieren der S/MIME Verschlüsselung im Email lesen oder Email senden Aktivitäten.

Warnung

Geben Sie Ihren privaten Schlüssel nicht an Dritte weiter. Um Ihnen eine verschlüsselte Email senden zu können, muss der Absender Ihren öffentlichen Schlüssel kennen, Ihren privaten Schlüssel sollten jedoch nur Sie behalten.

Schritt 8: Verschieben Sie die Datei in einen Agentenpfad

Sie haben nun ein Zertifikat, das in die .p12 Datei erstellt in Schritt 7, verschieben Sie diese Datei in einen für den Agenten sichtbaren Pfad (z. B. ResourcesOrdner) und importieren Sie das Zertifikat in den Standard-Truststore (siehe Zertifikate hinzufügen, um zu lernen, wie das geht).

Notiz

Behalten Sie beim Importieren des Zertifikats in den Standard-Truststore den Alias bei, den Sie zur Identifizierung verwenden, da Sie aufgefordert werden, ihn anzugeben, wenn Sie die S/MIME Verschlüsselung entweder im Fenster Email lesen aktivieren. oder Email senden Aktivitäten.

Nächste Schritte

Nachdem Ihr selbstsigniertes S/MIME-Zertifikat erstellt wurde, können Sie damit Ihre Emails signieren oder signieren und verschlüsseln sowie verschlüsselte Emails lesen. Indem Sie einem Absender Ihren öffentlichen Schlüssel mitteilen, können Sie verschlüsselte Emails von ihm empfangen. Sobald ein Empfänger Ihnen seinen öffentlichen Schlüssel zur Verfügung stellt, können Sie ihm ebenfalls verschlüsselte Email senden.