eGovernment Konzept - Bay. Verwaltungs-PKI

Transcrição

Handbuch für Nutzer von Zertifikaten
der Zertifizierungsstellen (CAs) des
Bayerischen Behördennetzes (BYBN)
zur Sicherung von E-Mails
Teil C8: Konfiguration der Arbeitsumgebung in
Mozilla Thunderbird 2.0.0.12
(Ulrich Kronenberg)
29.05.2008
1
Benutzerhandbuch Sichere E-Mail
1
Auswahl von Signatur- und Verschlüsselungszertifikat ........................... 3
2
LDAP Verzeichnisdienst einrichten............................................................. 9
3
Sperrlisten einrichten ................................................................................. 11
2
1
Auswahl von Signatur- und Verschlüsselungszertifikat
Nach dem Import der Zertifikate müssen Sie diese in Thunderbird noch zuweisen.
Dies geschieht unter → Extras → Konten
3
Unter dem Punkt „S/MIME-Sicherheit“ können Sie die Zertifikate für Digitale Unterschrift und
Verschlüsselung auswählen und mit OK bestätigen..
Details können angezeigt werden:
4
Zur Ansicht wählen Sie → Extras → Einstellungen
5
Es öffnet sich folgendes Fenster:
Dort können Sie den Reiter „Zertifikate“ auswählen.
6
Im Zertifikat Manager sehen Sie die Zertifikate für die Zwecke „Verschlüsseln“ und „Unterschrift“
Es ist wichtig, dass die übergeordneten Zertifikate ebenfalls eingebunden sind.
Dieses ist unter dem Reiter „Zertifizierungsstellen“ ersichtlich:
In diesem Fall heißen die übergeordneten Zertifikate „2008-ROOT-CA“ und ISSUING-CA2008
7
Zu beachten ist auch, dass die Vertrauenseinstellungen korrekt gesetzt sind.
8
2
LDAP Verzeichnisdienst einrichten
Die Zertifikate der Mitarbeiter in der öffentlichen Verwaltung werden zentral in einem LDAP
Verzeichnisdienst des Behördennetzes veröffentlicht. Um einen LDAP Verzeichnisdienst
einzurichten klicken Sie auf „LDAP-Verzeichnis“ unter → Datei → Neu.
Der folgende Abschnitt beschreibt eine Beispielkonfiguration. Eine Übersicht über alle möglichen LDAP Abfragen finden Sie unter https://www.pki.bayern.de  Allgemeine Informationen  Infrastruktur  Zertifikatsabruf.
Name: frei wählbarer Name
des Verzeichnisdienstes
Server-Adresse: Server –
DNS - Name des bereitstellenden Verzeichnisdienstes
Basis-DN: Entspricht der
Suchbasis
Port: 389
Bind-DN: Dieses Feld bleibt
i.A. leer.
Verschlüsselte Verbindung
(SSL) kann verwendet werden, dann ist allerdings der Port 636 einzustellen.
9
10
3
Sperrlisten einrichten
Sperrlisten können in Mozilla Thunderbird importiert und automatisch aktualisiert werden.
Sie können unter → Thunderbird-Einstellungen den Punkt CRLs (Certificate Revocation List /
Sperrliste) auswählen.
11
Der Punkt „Importieren“ bietet die Möglichkeit die Sperrliste einer CA einzubinden
In Sperrlisten sind Zertifikate verzeichnet, die vor Ablauf ihrer allgemeinen Gültigkeit von drei
Jahren gesperrt wurden, z.B. weil der private Schlüssel bekannt geworden ist. Zertifikate
bleiben nur so lange auf einer Sperrliste bis sie ohnehin ungültig würden, weil der Gültigkeitszeitraum abgelaufen ist.
Auch Sperrlisten haben eine bestimmte Gültigkeitsdauer. Die meisten CAs im Behördennetz
erstellen täglich neue Sperrlisten mit einer Gültigkeitsdauer von 1 Tag.
Im Rahmen der Deutschen Verwaltungs-PKI werden derzeit zwei Arten von Sperrlisten verwendet, Sperrlisten die per LDAP-Protokoll und Sperrlisten, die per HTTP-Protokoll geholt
werden. Allerdings werden im Bayerischen Teil der Verwaltungs-PKI derzeit nur Sperrlisten
verwendet, die per LDAP-Protokoll abgerufen werden können. Nach derzeitigem Kenntnisstand können von Mozilla aber nur HTTP-Sperrlisten verarbeitet werden.
Es ist bereits geplant, die Sperrlisten auch per OCSP (Online Certificate Status Protocol) zur
Verfügung zu stellen. Diese Sperrlisten können dann auch von Thunderbird genutzt werden.
Wenn eine Sperrliste fehlt, erfolgt durch Mozilla keine Fehlermeldung. Wenn sie jedoch vorhanden ist, wird sie auch für die Prüfung der Zertifikate verwendet.
Dabei kann Mozilla so eingestellt werden, dass die aktuelle (HTTP-)Sperrliste automatisch
vom Server geholt wird, beispielsweise jeden Tag.
12
Um die vorhandenen und möglichen Sperrlisten einzurichten, öffnen Sie mit dem Mozilla
Navigator die Webseite http://x500.bund.de/ des BSI. In der Navigationsleiste oben finden
Sie einen Link „Service-Zertifikate“, den Sie bitte anklicken. Auf der nächsten Seite finden
Sie die Zertifikate der Root-CA’s und die dazu gehörenden Sperrlisten. Sie benötigen den
Link in der Zeile „PCA-1-Verwaltung-05“ in der letzten Spalte (unter „CA-Sperrliste (CRL)“),
den Sie bitte anklicken.
Mozilla importiert dann die Sperrliste automatisch und bietet Ihnen danach die Möglichkeit
an, ein automatisches Update einzurichten.
Setzen Sie bitte das Häkchen vor „Automatisches Update für diese CRL aktivieren“ und lassen Sie das Update jeden Tag durchführen (aktivieren der Option „Führe Update alle 1
Tag(e) durch“).
Die 2 Teile der Sperrliste „Bayerische VPKI Class3 Issuing CA-2006“ können derzeit nur
über LDAP abgefragt werden. Der Zugriff auf LDAP-Sperrlisten von Thunderbird aus konnte
aber bisher nicht erfolgreich getestet werden.
13

eGovernment Konzept - Bay. Verwaltungs-PKI

Transcrição

Documentos relacionados

Anleitung MozBackup

Einrichtung Ihres 3 E-Mail Kontos unter Thunderbird

Thunderbird - Hochschulrechenzentrum

Einrichten eines Exchange-Kontos mit Thunderbird

kostenlose E-Mail-Sicherung u. Archivierung für - segeln

Installation eines Zertifikates im Mozilla Firefox V0.2 Table - A

Automatische Zertifikatssuche in Thunderbird einrichten

Firefox und Thunderbird

Dokument - Institut für Mathematik

Einrichten eines IMAP-Kontos in Thunderbird

Studiophile AV 30 Benutzerhandbuch - M

FOREST OPPORTUNITY

Benutzerhandbuch Version 1.8

Besucherdaten entschlüsselt

Email-Tipps - Treffpunkt Freiburg