S/MIME konfigurieren

15.01.2007 von Martin Kuppinger

Auch wenn die Akzeptanz noch zu wünschen übrig lässt, ist S/MIME der wichtigste Standard für die Verschlüsselung von E-Mails. S/MIME kann auch bei Lotus Notes eingesetzt werden, wenn man außerhalb der eigenen Infrastruktur mit verschlüsselten E-Mails arbeiten will. Wie die Konfiguration aussieht, lesen Sie im vorliegenden Artikel.

Für Benutzer von Lotus Notes ist die Signatur und Verschlüsselung von E-Mails eine fast selbstverständliche, einfach zu nutzende Angelegenheit – solange innerhalb der Notes-Infrastruktur gearbeitet wird. Ganz anders sieht es aus, wenn Mails ins Internet gesendet werden. Dort ist schon die Signatur von E-Mails eher exotisch – von der Verschlüsselung ganz zu schweigen. Unter den vielen Mails, die ich selbst bekomme, ist im Durchschnitt nicht einmal eine signierte E-Mail pro Tag. Dafür gibt es drei Ursachen:

Die Erfordernis, E-Mails zu signieren oder zu verschlüsseln, wird insgesamt noch deutlich unterschätzt. Je mehr E-Mails aber als rechtsverbindlich betrachtet werden, desto mehr muss man sich auch mit diesen Themen auseinandersetzen. Interessanterweise sind aber selbst viele Rechnungen, die per E-Mail gesendet werden, nicht signiert und somit durchaus fragwürdige Dokumente.
Der Aufbau einer Infrastruktur für die Signatur und Verschlüsselung von E-Mails ist, sobald man sich über die Grenzen einer Infrastruktur hinaus bewegt, komplex.
Die wenigsten Benutzer – sowohl auf Sender wie Empfänger-Seite – können etwas mit signierten oder verschlüsselten Mails anfangen – nicht weil der Umgang damit so komplex wäre, aber man ist es einfach noch nicht gewohnt.

Die erste der genannten Ursachen ist gleichzeitig aber auch der Grund dafür, sich intensiver mit S/MIME auseinanderzusetzen, um zukünftig mit verschlüsselten E-Mails arbeiten zu können.

S/MIME

S/MIME arbeitet mit einem Public-Key-Verfahren auf Basis von nach dem X.509v3-Standard erstellten digitalen Zertifikaten. Damit diese Zertifikate problemlos akzeptiert werden, sollten sie von einer öffentlichen Stammzertifizierungsstelle stammen. Von diesen gibt es ja einige. Zu den bekannteren gehören Verisign und Thawte, die teilweise wieder mit lokalen Partnern für das Management der gesamten Zertifikatsinfrastruktur zusammenarbeiten.

Für Benutzer ist es leider erforderlich, ein bisschen etwas was von dem Verfahren zu verstehen. Denn für das Zusammenspiel mit anderen Kommunikationspartnern benötigt man deren öffentliche Schlüssel. Bei der Signatur wird es benötigt, um diese überprüfen zu können. Bei der Verschlüsselung ist es erforderlich, um eine verschlüsselte E-Mail an einen anderen Kommunikationspartner senden zu können. Diese wird nämlich mit dessen öffentlichem Schlüssel verschlüsselt, sodass sie nur vom berechtigten Empfänger mit dem privaten Schlüssel wieder decodiert werden kann.

Der erste Schritt für die Nutzung von S/MIME ist die Bereitstellung eines digitalen Internet-Zertifikats, das die Anwendungsbereiche von S/MIME, also Signatur und Verschlüsselung unterstützt. Die Vorgehensweise zur Erlangung eines solchen Zertifikats hängt von der eingesetzten CA ab und davon, wie diese konfiguriert ist.

Die Voraussetzungen

Um S/MIME nutzen zu können, müssen je nach Situation unterschiedliche Voraussetzungen erfüllt sein:

Für den Versand verschlüsselter E-Mails muss das Internet-Zertifikat des Empfängers verfügbar sein. Es kann sich im persönlichen Adressbuch, im Domino Directory oder einem eingesetzten LDAP-Verzeichnis befinden. Gegebenenfalls muss dafür auch die Directory Assistance konfiguriert sein. Außerdem muss es ein Internet-Kreuzzertifikat entweder für die CA oder den Empfänger geben. Dieses muss im persönlichen Adressbuch des Senders abgespeichert sein. Beim ersten Senden einer verschlüsselten E-Mail an einen Empfänger kann dieses Kreuzzertifikat erstellt werden.
Für das Entschlüsseln von E-Mails und das Senden von signierten Nachrichten benötigt Notes ein Internet-Zertifikat in der Notes-ID-Datei. Dieses enthält den privaten Schlüssel, der für diese Aufgaben erforderlich ist.
Um signierte E-Mails verifizieren zu können, wird wiederum ein Internet-Kreuzzertifikat für den Sender oder dessen CA im persönlichen Adressbuch benötigt.

Auf den Umgang mit Trusted Root Certificates bei Lotus Notes/Domino wird in einem gesonderten Artikel in diesem Heft noch näher eingegangen.

Internet-Zertifikate

Damit ein Client mit S/MIME arbeiten kann, benötigt er ein entsprechendes Zertifikat. Es kann sich dabei um das gleiche Zertifikat handeln, das auch für die SSLv3-Authentifizierung genutzt wird, aber auch um ein getrenntes Zertifikat. Dafür muss zunächst ein Trusted Root Certificate der verwendeten CA in das Domino Directory aufgenommen werden, soweit noch nicht geschehen. Das könnte theoretisch auch im persönlichen Adressbuch des Clients erfolgen, macht aber wenig Sinn – im Domino Directory muss man die Aktion nur einmal durchführen, sonst individuell für jeden Client.

Die Clients müssen nun ein Internet-Kreuzzertifikat anfordern. Das geschieht im Bereich File/Security/User Security und dort wiederum bei Identity of others. Dort muss bei People, Services die Option Find more about people/services gewählt werden. Nun wird die Schaltfläche Retrieve internet service certificate angezeigt, über die die weiteren Schritte durchgeführt werden können (Bild 1).

Bild 1: Das Dialogfeld für das Hinzufügen von Kreuzzertifikaten zu CAs.

Anschließend muss noch ein Internet-Zertifikat für den Notes-Client hinzugefügt werden. Der einfachste Ansatz ist die Bereitstellung über die Domino-CA. Clients können aber Zertifikate auch direkt bei einer CA anfordern, je nach genutzter Infrastruktur. Mit der Bereitstellung eines Internet-Zertifikats für die Clients ist bereits ein Teil der Anforderungen von S/MIME adressiert, da der Client nun über seinen eigenen privaten und öffentlichen Schlüssel verfügt und damit beispielsweise Nachrichten signieren kann.

Die nächste Herausforderung ist nun, an den öffentlichen Schlüssel des Kommunikationspartners zu gelangen. Das ist allerdings nicht allzu kompliziert. Sobald ein Kommunikationspartner eine signierte Nachricht sendet, kann man den öffentlichen Schlüssel in das eigene Adressbuch aufnehmen. Man kann direkt das Kreuzzertifikat ausstellen, wobei man noch einige Felder wie den Zertifizierer und Server ausfüllen muss. Dieser Schritt muss nur einmal pro Kommunikationspartner durchgeführt werden, da anschließend alle erforderlichen Informationen vorhanden sind.

S/MIME nutzen

Bild 2: Die Einstellungen für die Signatur und Verschlüsselung bei den Präferenzen eines Notes-Clients.

Wenn S/MIME erst einmal konfiguriert ist, ist die Nutzung auch kein größeres Problem mehr. Man kann entweder individuelle Mails verschlüsseln oder bei den generellen Einstellungen für den Versand von E-Mails festlegen, ob und in welcher Form die Verschlüsselung durchgeführt werden soll (Bild 2).