eGovernment Konzept - Bay. Verwaltungs-PKI
Transcrição
eGovernment Konzept - Bay. Verwaltungs-PKI
Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von E-Mails Teil C8: Konfiguration der Arbeitsumgebung in Mozilla Thunderbird 2.0.0.12 (Ulrich Kronenberg) 29.05.2008 1 Benutzerhandbuch Sichere E-Mail Teil C8: Konfiguration der Arbeitsumgebung in Mozilla Thunderbird 2.0.0.12 1 Auswahl von Signatur- und Verschlüsselungszertifikat ........................... 3 2 LDAP Verzeichnisdienst einrichten............................................................. 9 3 Sperrlisten einrichten ................................................................................. 11 2 Benutzerhandbuch Sichere E-Mail Teil C8: Konfiguration der Arbeitsumgebung in Mozilla Thunderbird 2.0.0.12 1 Auswahl von Signatur- und Verschlüsselungszertifikat Nach dem Import der Zertifikate müssen Sie diese in Thunderbird noch zuweisen. Dies geschieht unter → Extras → Konten 3 Benutzerhandbuch Sichere E-Mail Teil C8: Konfiguration der Arbeitsumgebung in Mozilla Thunderbird 2.0.0.12 Unter dem Punkt „S/MIME-Sicherheit“ können Sie die Zertifikate für Digitale Unterschrift und Verschlüsselung auswählen und mit OK bestätigen.. Details können angezeigt werden: 4 Benutzerhandbuch Sichere E-Mail Teil C8: Konfiguration der Arbeitsumgebung in Mozilla Thunderbird 2.0.0.12 Zur Ansicht wählen Sie → Extras → Einstellungen 5 Benutzerhandbuch Sichere E-Mail Teil C8: Konfiguration der Arbeitsumgebung in Mozilla Thunderbird 2.0.0.12 Es öffnet sich folgendes Fenster: Dort können Sie den Reiter „Zertifikate“ auswählen. 6 Benutzerhandbuch Sichere E-Mail Teil C8: Konfiguration der Arbeitsumgebung in Mozilla Thunderbird 2.0.0.12 Im Zertifikat Manager sehen Sie die Zertifikate für die Zwecke „Verschlüsseln“ und „Unterschrift“ Es ist wichtig, dass die übergeordneten Zertifikate ebenfalls eingebunden sind. Dieses ist unter dem Reiter „Zertifizierungsstellen“ ersichtlich: In diesem Fall heißen die übergeordneten Zertifikate „2008-ROOT-CA“ und ISSUING-CA2008 7 Benutzerhandbuch Sichere E-Mail Teil C8: Konfiguration der Arbeitsumgebung in Mozilla Thunderbird 2.0.0.12 Zu beachten ist auch, dass die Vertrauenseinstellungen korrekt gesetzt sind. 8 Benutzerhandbuch Sichere E-Mail Teil C8: Konfiguration der Arbeitsumgebung in Mozilla Thunderbird 2.0.0.12 2 LDAP Verzeichnisdienst einrichten Die Zertifikate der Mitarbeiter in der öffentlichen Verwaltung werden zentral in einem LDAP Verzeichnisdienst des Behördennetzes veröffentlicht. Um einen LDAP Verzeichnisdienst einzurichten klicken Sie auf „LDAP-Verzeichnis“ unter → Datei → Neu. Der folgende Abschnitt beschreibt eine Beispielkonfiguration. Eine Übersicht über alle möglichen LDAP Abfragen finden Sie unter https://www.pki.bayern.de Allgemeine Informationen Infrastruktur Zertifikatsabruf. Name: frei wählbarer Name des Verzeichnisdienstes Server-Adresse: Server – DNS - Name des bereitstellenden Verzeichnisdienstes Basis-DN: Entspricht der Suchbasis Port: 389 Bind-DN: Dieses Feld bleibt i.A. leer. Verschlüsselte Verbindung (SSL) kann verwendet werden, dann ist allerdings der Port 636 einzustellen. 9 Benutzerhandbuch Sichere E-Mail Teil C8: Konfiguration der Arbeitsumgebung in Mozilla Thunderbird 2.0.0.12 10 Benutzerhandbuch Sichere E-Mail Teil C8: Konfiguration der Arbeitsumgebung in Mozilla Thunderbird 2.0.0.12 3 Sperrlisten einrichten Sperrlisten können in Mozilla Thunderbird importiert und automatisch aktualisiert werden. Sie können unter → Thunderbird-Einstellungen den Punkt CRLs (Certificate Revocation List / Sperrliste) auswählen. 11 Benutzerhandbuch Sichere E-Mail Teil C8: Konfiguration der Arbeitsumgebung in Mozilla Thunderbird 2.0.0.12 Der Punkt „Importieren“ bietet die Möglichkeit die Sperrliste einer CA einzubinden In Sperrlisten sind Zertifikate verzeichnet, die vor Ablauf ihrer allgemeinen Gültigkeit von drei Jahren gesperrt wurden, z.B. weil der private Schlüssel bekannt geworden ist. Zertifikate bleiben nur so lange auf einer Sperrliste bis sie ohnehin ungültig würden, weil der Gültigkeitszeitraum abgelaufen ist. Auch Sperrlisten haben eine bestimmte Gültigkeitsdauer. Die meisten CAs im Behördennetz erstellen täglich neue Sperrlisten mit einer Gültigkeitsdauer von 1 Tag. Im Rahmen der Deutschen Verwaltungs-PKI werden derzeit zwei Arten von Sperrlisten verwendet, Sperrlisten die per LDAP-Protokoll und Sperrlisten, die per HTTP-Protokoll geholt werden. Allerdings werden im Bayerischen Teil der Verwaltungs-PKI derzeit nur Sperrlisten verwendet, die per LDAP-Protokoll abgerufen werden können. Nach derzeitigem Kenntnisstand können von Mozilla aber nur HTTP-Sperrlisten verarbeitet werden. Es ist bereits geplant, die Sperrlisten auch per OCSP (Online Certificate Status Protocol) zur Verfügung zu stellen. Diese Sperrlisten können dann auch von Thunderbird genutzt werden. Wenn eine Sperrliste fehlt, erfolgt durch Mozilla keine Fehlermeldung. Wenn sie jedoch vorhanden ist, wird sie auch für die Prüfung der Zertifikate verwendet. Dabei kann Mozilla so eingestellt werden, dass die aktuelle (HTTP-)Sperrliste automatisch vom Server geholt wird, beispielsweise jeden Tag. 12 Benutzerhandbuch Sichere E-Mail Teil C8: Konfiguration der Arbeitsumgebung in Mozilla Thunderbird 2.0.0.12 Um die vorhandenen und möglichen Sperrlisten einzurichten, öffnen Sie mit dem Mozilla Navigator die Webseite http://x500.bund.de/ des BSI. In der Navigationsleiste oben finden Sie einen Link „Service-Zertifikate“, den Sie bitte anklicken. Auf der nächsten Seite finden Sie die Zertifikate der Root-CA’s und die dazu gehörenden Sperrlisten. Sie benötigen den Link in der Zeile „PCA-1-Verwaltung-05“ in der letzten Spalte (unter „CA-Sperrliste (CRL)“), den Sie bitte anklicken. Mozilla importiert dann die Sperrliste automatisch und bietet Ihnen danach die Möglichkeit an, ein automatisches Update einzurichten. Setzen Sie bitte das Häkchen vor „Automatisches Update für diese CRL aktivieren“ und lassen Sie das Update jeden Tag durchführen (aktivieren der Option „Führe Update alle 1 Tag(e) durch“). Die 2 Teile der Sperrliste „Bayerische VPKI Class3 Issuing CA-2006“ können derzeit nur über LDAP abgefragt werden. Der Zugriff auf LDAP-Sperrlisten von Thunderbird aus konnte aber bisher nicht erfolgreich getestet werden. 13