InhaltsübersichtTable of contents
| Table of Contents | ||
|---|---|---|
|
Nachfolgend eine Beschreibung der Verschlüsselung sowie der Verwendung der digitalen Signaturen.
Verschlüsselung
directmail ist in der Lage, E-Mails verschlüsselt im S/MIME Format mit 128 bit-Verschlüsselung und Zertifikat zu versenden.
Alternativ steht auch die Verschlüsselung von versandten PDF-Dateien mit bis zu 128 bit Verschlüsselung ohne Zertifizierung zur Verfügung.
Grundsätzliches
S/Mime bedeutet The following is a description of encryption and the use of digital signatures.
Encryption
directmail is able to send encrypted emails in S/MIME format with 128 bit encryption and certificate.
Alternatively, encryption of sent PDF files with up to 128 bit encryption without certification is also available.
Basic
S/Mime means Secure Multimedia Internet Mail Extensions; und stellt eine Erweiterung des MIME Standards für sicheren E-Mail Transport darand is an extension of the MIME standard for secure e-mail transport.
S/Mime nutzt das sogenannte Public/Private-Key-Verfahren. Dieses Konzept beseitigt einige grundsätzliche Schwachstellen im Verlauf der Übertragung (insbesondere reicht es nicht, einen Schlüssel abzufangen, der im Vorfeld einer Nachrichtenübermittlung versandt wird). Um diese Verschlüsselungsverfahren korrekt anwenden zu können, ist es wichtig, dass dessen Grundzüge und die Vorgehensweise bekannt sind
S/MIME unterstützt sowohl die Signatur von E-Mail als auch deren Verschlüsselung.
Eine Signatur garantiert dem Empfänger, dass die E-Mail unverändert über das Internet verschickt wurde. Eine signierte E-Mail ist nicht verschlüsselt und könnte deshalb von unbefugten gelesen werden. Signiert wird immer mit dem privaten Schlüssel des Absenders. Da einer signierten E-Mail immer der öffentliche Schlüssel des Absenders angehängt wird, kann die Signatur durch den Empfänger anhand des angehängten öffentlichen Schlüssels des Absender geprüft werden.
Bei der Verschlüsselung wird garantiert, dass die E-Mail nicht von dritten gelesen werden kann. Verschlüsselt wird immer mit dem öffentlichen Schlüssel des Empfängers. Dieser kann die Nachricht dann mit seinem Privaten Schlüssel wieder entschlüsseln.
Hinweis:
directmail speichert sämtliche E-Mails unverschlüsselt. Es wird davon ausgegangen, dass die Sicherheitseinstellungen Ihres Systems ausreichend sind, um diese Mails vor unbefugtem Zugriff zu schützen.
Öffentliche und private Schlüssel werden in sog. Zertifikaten gespeichert. Solche Zertifikate enthalten neben den Schlüsseln auch weitere Informationen wie z.B. E-Mail Adresse des Inhabers, Gültigkeitsperiode, Hashcodes etc. Um sicher zu stellen, dass ein Zertifikat Gültigkeit hat, wird dieses in der Regel von einem CA (Certificate Authority) signiert.
Zertifikate können entweder nur den öffentlichen Schlüssel des Inhabers enthalten (öffentliches Zertifikat) aber auch zusätzlich den privaten Schlüssel (privates Zertifikat). Enthält ein Zertifikat den privaten Schlüssel, so muss es durch ein Kennwort gegen unbefugtem Zugriff geschützt werden. Nur der Inhaber des Zertifikates sollte Zugriff zu seinem privaten Schlüssel besitzen.
Private Schlüssel werden verwendet für:
Signierung von E-Mails für den Versand (Mit Schlüssel des Absenders)
Entschlüsselung von E-Mails beim Empfang (Mit Schlüssel des Empfängers)
Öffentliche Schlüssel werden verwendet für:
Verschlüsselung beim Versand (mit Schlüssel des Empfängers)
Prüfung einer Signatur bei Empfang (mit Schlüssel des Absenders)
Jeder signierten E-Mail wird der öffentliche Schlüssel des Absenders angehängt (Dies kann gleichzeitig zum Austausch einen öffentlichen Schlüssels dienen)
Hinweis:
Ein privater Schlüssel sollte niemals einer anderen Person als dem Inhaber zugänglich sein. Achten Sie deshalb auf „sichere" Kennwörter.
Einschränkungen:
directmail ist z.Zt. noch nicht in der Lage E-Mails zu entschlüsseln
directmail ist z.Zt. noch nicht in der Lage Signaturen zu prüfen
Öffentliche Schlüssel einer signierten E-Mail können bei empfangenen E-Mail nur dann in directmail (als Attachment) importiert werden, wenn es sich um eine „detached signature" handelt.
Allgemeine Hinweise zu S/Mime
Sie können mit diesem Verfahren Nachrichten verschlüsseln und signieren, also garantieren, dass die Nachricht auch von dem angegebenen Absender stammt (eine Art elektronisches Siegel).
Sie haben zwei Schlüssel, einen privaten und einen öffentlichen.
Der private Schlüssel muss unbedingt geheim gehalten werden. Er besteht aus einer Datei, die Sie nicht aus den Händen geben sollten und ist zusätzlich durch ein Paßwort geschützt (wählen Sie hier unbedingt ein sicheres aus!).
Der öffentliche Schlüssel, ebenfalls eine Datei, kann unbesorgt verbreitet werden. Sie müssen aber, wenn Sie den öffentlichen Schlüssel eines Kommunikationspartners erhalten, unbedingt sicherstellen, dass der Schlüssel auch wirklich von ihm ist. Das geschieht entweder physisch (er hat Ihnen die Diskette mit dem Schlüssel persönlich übergeben) oder durch telefonischen Vergleich des sog. Fingerprints. Die praktischste Möglichkeit ist es aber, eine dritte Instanz (Certificate Authority, CA) zu ermächtigen, die Prüfung zu übernehmen. Dann muß man nur noch einmal diese CA anerkennen und alles läuft, wenn die Schlüssel aller Kommunikationspartner von der CA signiert wurden. An der Uni übernimmt das Rechenzentrum die Rolle der CA. Dies wird aber im allgemeinen nur von Nutzern des Uni-Netzes akzeptiert werden.
Sie verschlüsseln und / oder signieren mit Ihrem privaten Schlüssel und dem öffentlichen Schlüssel des Empfängers. Der wiederum entschlüsselt bzw. bestätigt die Herkunft der Mail mit seinem privaten und Ihrem öffentlichen Schlüssel. Deshalb heißt dieses Prinzip auch aysmetrische Verschlüsselung.
Die strenge Hierarchie von X.509 Zertifikaten ist das Grundgerüst des S/MIME Konzepts. X.509 Zertifikate werden bei SSL, S/MIME und IPSec eingesetzt.
An höchster Stelle befindet sich die Haupt–Zertifizierungsinstanz, die Certificate Authority. Sie stellt die höchste Stelle der PKI (Public Key Infrastructure) dar. Digitale Zertifikate X.509 oder die Digitale Signatur X.509 garantieren, dass ein öffentlicher Schlüssel eindeutig einem bestimmten Benutzer zugewiesen werden kann.
Eine Certification Authority (CA) ist eine „Trusted Third Party" (vertrauenswürdige Einheit), die Digitale Zertifikate herausgibt und verwaltet. Diese CA garantiert, dass ein öffentlicher Schlüssel einem einzigen, identifizierten Benutzer gehört. Die Herausgabe der Zertifikate kann offline und online geschehen. Online bietet z.B. das TC TrustCenter ein sogenanntes Class 1 Zertifikat an, dass kostenlos eine „einfache Sicherheitsstufe" darstellt. Bei der Beantragung eines Class 1 oder Express-Zertifikates36 wird lediglich die Richtigkeit der angegebenen E-Mail-Adresse überprüft. Bei TC TrustCenter Class 1 Zertifikaten werden äußerst geringe Anforderungen an den Nachweis der Identität gestellt. Vornehmlich dient es hier zum Ausprobieren von verschlüsseltem Mailverkehr mit Hilfe von X.509 Zertifikaten. Offline müssen Benutzer physisch bei der CA anwesend sein. Hier sei z.B. das Trustcenter Verisign37 mit seinem Class 3 Zertifikat genannt. Wenn ein solches Center bestimmte Anforderungen erfüllt, sind die mit den Zertifikaten erstellten Unterschriften nach deutschem Gesetz rechtsgültig. TeleSec (Telekom) und Signtrust (Deutsche Post) sind zwei weitere Anbieter der sogenannten „qualifizierenden Signatur", für die eine Sicherheitsvermutung nach dem im März 2001 überarbeiteten Signaturgesetz gilt. Solange einer höheren Instanz vertraut wird, sind automatisch alle davon abhängigen Zertifikate als vertrauenswürdig eingestuft.
Anfordern einer digitalen ID
Verisign bietet die Möglichkeit kostenlos 60 Tage gültige, digitale Ids zu erstellen. Nachfolgend ist beispielhaft die Vorgehensweise dazu beschrieben:
Über nachfolgenden Link kommen Sie direkt auf die Verisign-Internetseiteuses the so-called public/private key method. This concept eliminates some basic vulnerabilities in the course of transmission (in particular, it is not enough to intercept a key sent in advance of a message transmission). In order to use this encryption method correctly, it is important that its basic features and procedure are known
S/MIME supports both the signature of e-mail and its encryption.
A signature guarantees the recipient that the e-mail was sent unchanged over the Internet. A signed e-mail is not encrypted and could therefore be read by unauthorized persons. Signing is always done with the sender's private key. Since the sender's public key is always attached to a signed e-mail, the signature can be verified by the recipient using the attached public key of the sender.
Encryption guarantees that the e-mail cannot be read by third parties. Encryption is always performed with the recipient's public key. The recipient can then decrypt the message using his or her private key.
Note:
directmail stores all e-mails unencrypted. It is assumed that the security settings of your system are sufficient to protect these mails from unauthorized access.
public and private keys are stored in so-called certificates. In addition to the keys, such certificates also contain other information such as the owner's e-mail address, validity period, hash codes, etc. To ensure that a certificate is valid, it is usually signed by a CA (Certificate Authority).
Certificates can either contain only the public key of the owner (public certificate) or also the private key (private certificate). If a certificate contains the private key, it must be protected against unauthorized access by a password. Only the owner of the certificate should have access to his private key.
Private keys are used for:
Signing e-mails for sending (using the sender's key)
Decrypting e-mails for receipt (Using the recipient's key)
public keys are used for:
Encryption for sending (With key of the recipient)
Verification of a signature on receipt (using the sender's key)
Attaching the sender's public key to each signed email (This can be used to exchange a public key at the same time)
Hint:
A private key should never be accessible to anyone other than the owner. Therefore, make sure to use "strong" passwords.
Limitations:
directmail is currently not yet able to decrypt e-mails
directmail is currently not yet able to verify signatures
public keys of a signed e-mail can only be imported into directmail (as attachment) if it is a "detached signature".
General information about S/Mime
You can use this method to encrypt and sign messages, i.e. to guarantee that the message originates from the specified sender (a kind of electronic seal).
You have two keys, one private and one public.
The private key must be kept secret. It consists of a file that you should not give out of your hands and is additionally protected by a password (be sure to choose a secure one here!).
The public key, also a file, can be distributed without worry. However, if you receive the public key of a communication partner, you must make absolutely sure that the key is really from him. This can be done either physically (he handed you the disk with the key personally) or by comparing the so-called fingerprint over the phone. The most practical way, however, is to authorize a third party (Certificate Authority, CA) to do the verification. Then you only have to recognize this CA once and everything works, if the keys of all communication partners have been signed by the CA. At the university, the computer center takes over the role of the CA. However, this will generally only be accepted by users of the university network.
You encrypt and/or sign with your private key and the recipient's public key. The recipient decrypts or confirms the origin of the mail with his private key and your public key. This is why this principle is also called aysmetric encryption.
The strict hierarchy of X.509 certificates is the basic framework of the S/MIME concept. X.509 certificates are used for SSL, S/MIME and IPSec.
At the top is the main certification authority, the Certificate Authority. It represents the highest authority of the PKI (Public Key Infrastructure). X.509 digital certificates or the X.509 digital signature guarantee that a public key can be uniquely assigned to a specific user.
A Certification Authority (CA) is a trusted third party that issues and manages digital certificates. This CA guarantees that a public key belongs to a single, identified user. Certificates can be issued offline and online. Online, for example, the TC TrustCenter offers a so-called Class 1 certificate that represents a "simple security level" free of charge. When a Class 1 or Express certificate36 is applied for, only the correctness of the e-mail address provided is checked. TC TrustCenter Class 1 certificates have extremely low requirements for proof of identity. It is primarily used here for testing encrypted mail traffic with the aid of X.509 certificates. Offline, users must be physically present at the CA. Here, for example, the Verisign37 trust center with its Class 3 certificate should be mentioned. If such a center meets certain requirements, the signatures created with the certificates are legally valid according to German law. TeleSec (Telekom) and Signtrust (Deutsche Post) are two other providers of the so-called "qualifying signature," for which a presumption of security applies under the Signature Act, which was revised in March 2001. As long as a higher authority is trusted, all certificates that depend on it are automatically classified as trustworthy.
Requesting a digital ID
Verisign offers the possibility to create digital IDs valid for 60 days free of charge. The following is an example of how to do this:
the following link will take you directly to the Verisign website: http://www.verisign.com/client/enrollment/index.html
0115 – - VeriSign Personal Digital ID Enrollment
Klicken Sie auf den Button Click on the "Enroll now" button.
0116 – - Step 1 VeriSign Complete Enrollment Form
Füllen Sie die Felder gemäß Ihren Anforderungen aus. Markieren Sie die Checkbox Fill in the fields according to your requirements. DO NOT check the "Check this Box to Protect Your Private Key" NICHT, da ansonsten directmail die Signatur nicht verarbeiten kann.Klicken Sie zum Beantragen der ID auf "Accept" und im nachfolgenden Fenster nach Kontrolle der E-Mail-Adresse auf "OK"or directmail will not be able to process the signature.
Click "Accept" to apply for the ID and click "OK" in the following window after checking the email address.
0117 - Step 2 VeriSign Complete Enrollment Form
Auch das folgende Fenster beantworten Sie mit "Ja"Also answer "Yes" to the following window.
0118 – Mögliche SkriptingverletzungNach wenigen Minuten erhalten Sie von Verisign eine Bestätigungsmail mit einem Link zur Aktivierung der ID. Klicken Sie auf diesen Link- Possible Scripting Violation
After a few minutes, you will receive a confirmation email from Verisign with a link to activate the ID. Click on this link.
0119 - VeriSign Digital ID Pickup Instuction
Geben Sie nach Anzeige der Internetseite Ihre PIN ein und klicken Sie auf "Submit"After the Web page is displayed, enter your PIN and click Submit.
0120 – - Step 3 Pickup Digital ID
Jetzt können Sie die digitale ID durch Klick auf Now you can install the digital ID on your computer by clicking "Install" auf Ihrem Rechner installieren.
0121 – Spet - Step 4 Install Digital ID
Bestätigen Sie die nachfolgenden Meldungen durch Klick auf "JaConfirm the following messages by clicking on "Yes".
0122 – Mögliche Skriptingverletzung
Export eines öffentlichen Schlüssels
Den exportierten öffentlichen Schlüssel benötigten Sie zur Verschlüsselung ausgehender E-Mails an einen bestimmten Empfänger.
Exportieren Sie nun Ihren öffentlichen Teil der digitalen ID in eine Datei und senden diese an Ihre directmail-Mailbox (Beispiel unter - Possible scripting violation
Export of a public key
You needed the exported public key to encrypt outgoing emails to a specific recipient.
Now export your public part of the digital ID to a file and send it to your directmail mailbox (example under MS Outlook 2000):
Klicken Sie in Outlook auf "Extras" – "Optionen" – Sicherheit" und dann auf den Button "Digitale ID importieren/exportieren"In Outlook, click on "Tools" - "Options" - Security" and then on the "Import/Export Digital ID" button.
0123 – Digitale ID importieren / exportierenMarkieren Sie den Radiobutton "Export Ihrer digitalen ID in eine Datei" und klicken auf "Auswählen- Import / export digital ID
Check the radio button "Export your digital ID to a file" and click on "Select".
0124 – Zertifikat auswählenWählen Sie Ihre zu exportierende ID aus und klicken auf "Zertifikat anzeigen- Select certificate
Select your ID to be exported and click on "View Certificate".
0125 – Zertifikat - Certificate Details
Im Reiter In the "Details" klicken Sie auf "In Datei kopierentab, click on "Copy to file".
0126 – Zertifikatsexport - AssistentKlicken Sie im Assistenten auf "WeiterCertificate Export Wizard
In the wizard, click on "Next".
0127 – Zertifikatsexport-Assistent Privaten Schlüssel exportierenWählen Sie "Nein, privaten Schlüssel nicht exportieren und klicken auf "Weiter- Certificate Export Wizard Export Private Key
Select "No, do not export private key and click "Next".
0128 – Zertifikatsexport-Assistent ExportdateiformatWählen Sie die erste Option - Certificate Export Wizard Export File Format
Select the first option "DER-codiertencoded..." und klicken auf "Weiterand click "Next".
0129 - Zertifikatsexport-Assistent Exportdateiname
Wählen Sie ein Verzeichnis und einen Dateinamen (mit Endung .cer) und klicken auf "Weiter".
0130 - Zertifikatsexport-Assistent Fertigstellen des Assistenten
Schließen Sie den Export durch Klick auf "Fertig stellen" ab und schicken Sie die exportierte Datei als Anhang an eine Mail an Ihre directmail-Mailbox. Dort können Sie diese wie später beschrieben importieren.
Export eines privaten Schlüssels
Den privaten Schlüssel benötigen Sie in directmail um E-Mails digital signieren zu können.
Exportieren Sie nun Ihren öffentlichen Teil der digitalen ID in eine Datei und senden diese an Ihre directmail-Mailbox (Beispiel unter Certificate Export Wizard export file name
Select a directory and a file name (with extension .cer) and click "Next".
0130 - Certificate Export Wizard Completing the Wizard
Complete the export by clicking on "Finish" and send the exported file as an attachment to a mail to your directmail mailbox. There you can import it as described later.
Export of a private key
You need the private key in directmail to be able to digitally sign e-mails.
Now export your public part of the digital ID to a file and send it to your directmail mailbox (example under MS Outlook 2000):
Klicken Sie in Outlook auf "Extras" – "Optionen" – Sicherheit" und dann auf den Button "Digitale ID importieren/exportierenIn Outlook click on "Tools" - "Options" - Security" and then on the button "Import/Export Digital ID".
0131 – Digitale ID importieren/exportierenMarkieren Sie den Radiobutton "Digitale ID in eine Datei exportieren" und klicken auf "Auswählen- Import/export digital ID
Check the radio button "Export digital ID to a file" and click on "Select".
0132 – Zerfifikat auswählen
Wählen Sie Ihre zu exportierende ID aus und klicken auf "OK".
Geben Sie nun den Pfad und Namen der zu erstellenden Datei ein sowie das zum Schlüssel gehörende Kennwort.
Klicken Sie dann auf „OK", der Schlüssel wird nun ins angegebene Verzeichnis exportiert.
Schließen Sie den Export durch Klick auf "Fertig stellen" ab und schicken Sie die exportierte Datei als Anhang an eine Mail an Ihre directmail-Mailbox. Dort können Sie diese wie später beschrieben importieren.
Vorgehensweise bei der Verschlüsselung
Um E-Mails verschlüsselt zu senden, ist es notwendig das X.509 Zertifikat (Digitale IDs) des Empfängers in directmail abzulegen. D.h. von jedem Empfänger an den Sie verschlüsselte E-Mails versenden wollen, müssen Sie zuerst das Zertifikat erhalten und in directmail importieren. Jedes Zertifikat ist immer an eine E-Mail-Adresse gebunden. Haben Sie also Empfänger mit mehreren E-Mail-Adressen je Person benötigen Sie ggf. mehrere Zertifikate je Empfänger.
Zertifikate können Sie mit folgenden Möglichkeiten in directmail integrieren.
Befehl WRKCER (Mit Zertifikaten arbeiten)
Mit diesem Befehl können jeder E-Mail Adresse ein oder mehrere öffentliche Zertifikate zugeordnet werden. Der Import der Zertifikate erfolgt über das IFS.
Das Verzeichnis - Select certificate
Select your ID to be exported and click on "OK".
Now enter the path and name of the file you want to create, as well as the password associated with the key.
Then click on "OK", the key will now be exported to the specified directory.
Complete the export by clicking on "Finish" and send the exported file as an attachment to a mail to your directmail mailbox. There you can import it as described later.
Encryption procedure
To send encrypted e-mails, it is necessary to store the X.509 certificate (digital IDs) of the recipient in directmail. I.e. from each recipient to whom you want to send encrypted e-mails, you must first obtain the certificate and import it into directmail. Each certificate is always bound to one e-mail address. If you have recipients with several e-mail addresses per person, you may need several certificates per recipient.
You can integrate certificates into directmail using the following options.
Command WRKCER (Work with certificates)
With this command, one or more public certificates can be assigned to each e-mail address. The certificates are imported via IFS.
The directory '/Toolmaker/DirectMail400/certs/public' ist dabei das Standardverzeichnis. Zertifikate können so z.B. unter Windows exportiert und in directmail importiert werdenis the default directory. Certificates can thus be exported under Windows, for example, and imported into directmail.
0133 – Mit Empfänger Zertifikaten arbeiten- Work with recipient certificates
OptionBeschreibung der Auswahlmöglichkeiten
Description of the options
1=Export
Mit dieser Auswahl können Sie Zertifikate in IFS-Verzeichnisse exportierenWith this selection you can export certificates to IFS directories.
2=ÄndernSie können mit dieser Auswahl Details zum Zertifikat verändernChange
You can change details of the certificate with this selection.
0134 – Zertifikat ändern- Change certificate
Email Adresse
Sofern ein Administrator für Zertifikate für mehrere Benutzer mit der gleichen E-Mail-Adresse angefordert hat, haben Sie hier die Möglichkeit die Adresse anzupassen. Die E-Mail-Adresse gilt als eindeutige Zuordnung des Zertifikates zu einem Empfänger.
Beschreibung
Texterläuterung für eigene Verwendung
Standard
Sofern dieser Parameter aus Ja eingestellt ist, wird dieses Zertifikat bei Versand an die E-Mail-Adresse benutzt.
Gültige Werte sind:
J Dies ist das Standardzertifikat
N Dies ist ein alternatives Zertifikat (kann evtl. zum Standardzertifikat geändert werden wenn das Standardzertifikat verfällt).
Verschl. zwingend
Hier können Sie festlegen, dass E-Mails an diese Adresse zwingend immer verschlüsselt werden, unabhängig davon welche Einstellungen der Benutzer oder über AutoMail vorgenommen werden.
Gültige Werte sind:
J E-Mails an diese Adresse werden immer verschlüsselt
N Die Einstellungen beim Versand der E-Mail werden verwendet.
4=Löschen
Mit dieser Auswahl können Sie ein Zertifikat löschen.
5=Anzeigen
Hiermit können Sie die Inhalte des Zertifikats am Bildschirm anzeigen
0135 – Spool-Datei anzeigen
11=Standard
Mit dieser Auswahl können Sie ein Alternativzertifikat direkt zum Standardzertifikat umwandeln.
F6=Erstellen
Diese Funktionstaste dient der Erstellung von Zertifikaten in directmail. Sie können im IFS gespeicherte Zertifikatdateien damit importieren.
0136 – Zertifikate erstellen
Wählen Sie mit Auswahl 1 das gewünschte zu importierende Zertifikat aus.
0137 – Zerfifikat Importieren
Email Adresse
Eingabe der E-Mail-Adresse für das zu importierende Zertifikat.
Beschreibung
Eingabe der Beschreibung für das zu importierende Zertifikat.
Standard
Das importierte Zertifikat kann als Standard festgelegt werden.
Gültige Werte sind:
J Festlegung als Standard
N Soll nicht als Standard verwendet werden.
Befehl IMPCER (Import Zertifikat)
Mit diesem Befehl können Zertifikate direkt aus dem IFS in directmail übernommen werden. Dies entspricht der Funktiontaste F6 im Befehl WRKCER. Der Befehl IMPCER kann insbesondere dann benutzt werden, wenn Zertifikate automatisiert über den Mail-Eingangsassistenten importiert werden sollen.
0138 – Zertifikat importieren
X.509 Zertifikat-Datei
Geben sie hier Pfad und Namen der Zertifikatdatei im IFS ein.
E-Mail-Adresse
Hier steht die Adresse mit der dieses Zertifikat verknüpft werden soll. Mit dem Wert *CERT verwendet der Importvorgang die E-Mail-Adresse die im Zertifikat gesepeichert.
Beschreibung
Die Textbeschreibung des Zertifikats.
Standard Zertifikat
Hier definieren Sie, ob das Zertifikat das Standard-, oder ein Alternativzertifikat für die angegebene E-Mail-Adresse darstellt.
Gültige Werte sind:
*YES Dies ist ein Standard-Zertifikat
*NO Dies ist ein Alternativ-Zertifikat
Verschlüsselung erzwingen
Steuern Sie hierüber, ob eine E-Mail an die angegebene E-Mail-Adresse unter allen Umständen verschlüsselt werden soll.
Gültige Werte sind:
*Yes E-Mails an diese Adresse werden immer verschlüsselt
*NO Die Einstellungen beim Versand der E-Mail werden verwendet.
Zertifikat-Datei löschen
Hiermit können Sie steuern, ob die Zertifikat-Datei (.cer) nach dem Import physisch aus dem IFS gelöscht werden soll, oder nicht.
Gültige Werte sind:
*Yes Die Zertifikatdatei wird nach dem Import gelöscht.
*NO Die Zertifikatdatei bleibt im IFS stehen.
Mit privaten Zertifikaten arbeiten
Innerhalb des Adressbuches können Zertifikate für einen Empfänger mit der Auswahl 18=Zertifikate bearbeitet/importiert werden.
0139 – Private Zertifikate
Beschreibung der Auswahlmöglichkeiten
1=Export
Mit dieser Auswahl können Sie Zertifikate in IFS-Verzeichnisse exportieren.
2=Ändern
Sie können mit dieser Auswahl die Beschreibung des Zertifikats verändern.
4=Löschen
Mit dieser Auswahl können Sie ein Zertifikat löschen.
5=Anzeigen
Hiermit können Sie die Inhalte des Zertifikats am Bildschirm anzeigen
0140 – Private Zertifikate anzeigen
11=Standard
Mit dieser Auswahl können Sie ein Alternativzertifikat direkt zum Standardzertifikat umwandeln.
F6=Erstellen
Diese Funktionstaste dient der Erstellung von privaten Zertifikaten in directmail. Sie können derzeit nur eigene Zertifikate erstellen, später wird auch der Import von Zertifikaten ermöglicht.
0142 – Privates Zertifikat erstellen
Mit Auswahl 1 kommen Sie zur Erfassung der Zertifikatdaten.
0143 – Bild 1 Erfassung der Zertifikatdaten
Name
Ein beliebiger Name zur Verwaltung des Zertifikates.
Beschreibung
Die Textbeschreibung Ihres Zertifikates.
Name
Hier steht der vollständige Name des Zertifikates. Bitte beachten Sie, dass hier keine Sonderzeichen enthalten sein dürfen.
E-Mail-Adresse
Geben Sie hier die zum Zertifikat gehörende E-Mail-Adresse ein.
Kennwort/Überprüfung
Zertifikate sind kennwortgeschützt. Geben Sie hier das Kennwort für Ihr Zertfifkat zweimal ein.
0144 – Bild 2 Erfassung der Zertifikatdaten
Die Erstellung des privaten Schlüssels kann je nach Leistungsfähigkeit Ihrer IBM i etwas dauern.
Exportieren von Zertifikat Attachments
Jede signierte E-Mail enthält automatisch das Zertifikat des Absenders. Dieses wird als Anhang der E-Mail hinzugefügt. Auf diesem Wege kann ein Zertifikat über die Auswahl 1=Export in den Zertifikatspeicher von directmail übertragen werden. Dazu gibt es im Menü 1=Export den neuen Punkt "4. Zertifikat". Zertifikate haben üblicherweise die Dateierweiterungenaddress
If an administrator has requested certificates for multiple users with the same email address, you have the option here to adjust the address. The email address is used as a unique assignment of the certificate to a recipient.
Description
Text explanation for own use
Default
If this parameter is set from Yes, this certificate will be used when sending to the email address.
Valid values are:
Y This is the default certificate
N This is an alternative certificate (may be changed to the default certificate if the default certificate expires) if the default certificate expires).
Mandatory
Here you can specify that e-mails to this address are always mandatorily encrypted, regardless of the settings made by the user or via AutoMail.
Valid values are:
J E-mails to this address will always be encrypted
N The settings made when sending the e-mail will be used.
4=Delete
With this selection you can delete a certificate.
5=Display
With this selection you can display the contents of the certificate on the screen
0135 - Display spool file
11=Standard
With this selection you can convert an alternative certificate directly to the standard certificate.
F6=Create
This function key is used to create certificates in directmail. You can use it to import certificate files stored in IFS.
0136 - Create certificates
Use selection 1 to select the desired certificate to import.
0137 - Import certificate
Email Address
Enter the email address for the certificate to be imported.
Description
Enter the description for the certificate to import.
Default
The imported certificate can be set as the default.
Valid values are:
Y Set as default
N Should not be used as default.
Command IMPCER (Import Certificate)
This command can be used to import certificates directly from IFS into directmail. This corresponds to the function key F6 in the WRKCER command. The command IMPCER can be used especially if certificates are to be imported automatically via the mail inbox wizard.
0138 - Import certificate
X.509 certificate file
Enter path and name of the certificate file in IFS.
E-mail address
Here is the address with which this certificate should be linked. With the value *CERT the import process uses the e-mail address stored in the certificate.
Description
The text description of the certificate.
Default certificate
Here you define whether the certificate is the default, or an alternative certificate for the specified email address.
Valid values are:
*YES This is a standard certificate
*NO This is an alternative certificate
Force encryption
Use this to control whether an email to the specified email address should be encrypted under all circumstances.
Valid values are:
*Yes E-mails to this address will always be encrypted
*NO The settings used when sending the e-mail will be used.
Delete certificate file
Allows you to control whether or not the certificate file (.cer) should be physically deleted from IFS after import.
Valid values are:
*Yes The certificate file will be deleted after the import.
*NO The certificate file remains in the IFS.
Working with private certificates
Within the address book, certificates for a recipient can be edited/imported with the selection 18=Certificates.
0139 - Private certificates
Description of the selections
1=Export
With this selection you can export certificates to IFS directories.
2=Change
You can change the description of the certificate with this selection.
4=Delete
With this selection you can delete a certificate.
5=Display
With this selection you can display the contents of the certificate on the screen
0140 - Show private certificates
11=Standard
With this selection you can convert an alternative certificate directly to the standard certificate.
F6=Create
This function key is used to create private certificates in directmail. Currently you can only create your own certificates, later it will also be possible to import certificates.
0142 - Create private certificate
With selection 1 you get to the capture of the certificate data.
0143 - Screen 1 Capture of certificate data
Name
Any name for managing the certificate.
Description
The text description of your certificate.
Name
This is the full name of the certificate. Please note that no special characters may be included here.
E-mail address
Enter the e-mail address belonging to the certificate here.
Password/Validation
Certificates are password protected. Enter the password for your certificate twice here.
0144 - Screenshot 2 Entering the certificate data
The creation of the private key may take some time depending on the performance of your IBM i.
Exporting certificate attachments
Every signed e-mail automatically contains the sender's certificate. This is added as an attachment to the e-mail. This way a certificate can be transferred to the certificate store of directmail by selecting 1=Export. For this purpose there is a new item "4. certificate" in the menu 1=Export. Certificates usually have the file extensions: .cer .der .p7m .p7s. Attachments mit diesen Erweiterungen werden von directmail als Zertifikat angezeigt. (Auswahl 5=Anzeigen)
Hinweis
directmail importiert nur detached Signatur-Zertifikate. d.h. die Signatur und das Zertifkat werden als gesondertes Attachment der E-Mail angefügtwith these extensions will be shown as certificate by directmail. (Selection 5=Display)
Note
directmail only imports detached signature certificates. i.e. the signature and the certificate are attached to the e-mail as a separate attachment.
0145 - Export eines Zertifikatesa certificate
0146 – Zertifikat importieren
Anmerkung zum Zertifikatsspeicher unter directmail:
Zugriffsschlüssel für Zertifikate ist die E-Mail Adresse des Empfängers. Für jede E-Mail Adresse können beliebig viele Zertifikate gespeichert werden. Für die Verschlüsselung der E-Mail wird immer das Standard Zertifikat verwendet.
Es gibt grundsätzlich drei mögliche Werte für den Verschlüsselungsparameter:
N = Nein-> Die E-Mail wird unverschlüsselt gesendet.
J = Ja-> E-Mail wird ausschließlich verschlüsselt gesendet. Sollte für einen Empfänger kein Zertifikat vorhanden sein, so wird die E-Mail an diese Adresse nicht verschickt. Die E-Mail erhält dann den Status "WRN=Warnung" und wird in den Fehlerordner gestellt.
M = Möglich -> Die E-Mail wird bei vorhandenem Zertifikat verschlüsselt gesendet, bei fehlendem Zertifikat erfolgt der Versand unverschlüsselt.
Mit der Auswahl 25 = Internet kann bei einer E-Mail angezeigt werden, für welche Empfänger kein Zertifikat vorhanden war.
Digitale Signaturen
directmail unterstützt digitale Signaturen beim Versand von E-Mails. Dazu muss einer Mailbox zunächst ein privates Zertifikat zugeordnet werden. Dieses kann mittels der Option 18=Zertifikat im Befehl WRKMBX verwaltet und erstellt werden. Die Zertifikate werden kennwortgeschützt im Pfad- Import certificate
Note about the certificate store under directmail:
Access key for certificates is the e-mail address of the recipient. Any number of certificates can be stored for each e-mail address. The default certificate is always used for encrypting the e-mail.
There are basically three possible values for the encryption parameter:
N = No-> The e-mail is sent unencrypted.
J = Yes-> E-mail is sent encrypted only. If no certificate is available for a recipient, the e-mail will not be sent to this address. The e-mail then receives the status "WRN=Warning" and is placed in the error folder.
M = Possible -> The e-mail is sent encrypted if a certificate is available; if no certificate is available, the e-mail is sent unencrypted.
With the selection 25 = Internet, it can be displayed for an e-mail for which recipients no certificate was available.
Digital signatures
directmail supports digital signatures when sending e-mails. To do this, a private certificate must first be assigned to a mailbox. This can be managed and created using option 18=certificate in the WRKMBX command. The certificates are stored password-protected in the path: /Toolmaker/directmail400/certs/private abgelegt. Bitte stellen Sie sicher, dass Sie dieses Verzeichnis sichern.
Um signierte E-Mails zu versenden, müssen Sie beim Verlassen des Editors oder im Befehl OPNEMLAPI das Flag für die Signierung setzen. Das System prüft, ob ein priv. Zertifikat für die gewählte Mailbox vorhanden ist.
Eine digitale Signatur bedeutet nicht, dass die E-Mail verschlüsselt wird. Sie dient ausschließlich dazu, festzustellen, ob eine E-Mail verändert wurde.
Prüfung eines signierten Mailanhangs
Die Prüfung erfolgt online mittels des Produktes SecSigner der Firma Seccommerce unter folgender . Please make sure that you back up this directory.
In order to send signed emails, you need to set the flag for signing when you exit the editor or in the OPNEMLAPI command. The system checks if there is a private certificate for the selected mailbox.
A digital signature does not mean that the e-mail will be encrypted. It is only used to determine whether an e-mail has been modified.
Verification of a signed mail attachment
The verification is done online using the product SecSigner from the company Seccommerce at the following URL: http://www.seccommerce.de/de/produkte/webcontrust/secsigner/secsigner_demo_verify.html