KIX - Forum
Community => Anleitungen => Thema gestartet von: Beatrice Müller am 17.10.2017 15:07:29
Für die Einrichtung der SMIME-Verschlüsselung sind folgende Schritte notwendig:
Die SMIME-Unterstützung in KIX basiert auf OpenSSL.
Es müsste also OpenSSL installiert werden: https://www.openssl.org/ (https://www.openssl.org/)
- Einrichtung OpenSSL CA:
siehe: https://www.openssl.org/docs/man1.0.2/apps/CA.pl.html (https://www.openssl.org/docs/man1.0.2/apps/CA.pl.html)
Anlegen der CA
CA.pl -newca - Generieren privater Schlüssel und das öffentliche Zertifikat:
siehe: https://www.openssl.org/docs/man1.0.2/apps/CA.pl.html
(https://www.openssl.org/docs/man1.0.2/apps/CA.pl.html) Zertifikatsanfrage
CA.pl -newreq
Zertifikat signieren
CA.pl -signreq - Konfigurieren von KIX für SMIME:
SysConfig -> Crypt::SMIME
o SMIME -> SMIME Support -> Ja
o SMIME::Bin -> Lage von OpenSSL -> /usr/bin/openssl
o SMIME::CertPath -> Verzeichnis, in dem SSL-Zertifikate gespeichert sind -> /opt/ssl/certs
o SMIME::PrivatePath -> Verzeichnis, in dem privaten SSL-Zertifikate gelagert -> /opt/ssl/private
Alle Verzeichnisse müssen vom Webserver-User beschreibbar sein.
- Import öffentliches Zertifikat eigener CA:
o Import öffentliches Zertifikat eigener CA über Admin-Interface -> SMIME
Dieses ist unter /opt/ssl/certs zu finden. - Import Private Key für KIX:
o Import privaten Schlüssel in Admin-Interface -> SMIME
Dieser ist unter /opt/ssl/private zu finden. - Import öffentliche Zertifikate der Kunden:
o Anpassung Kunden-Benutzer -> öffentliches Zertifikat hinzufügen
o Oder Import der öffentlichen Zertifikate in Admin-Interface -> SMIME
Diese Zertifikate sind unter /opt/ssl/certs finden.
Es müssten also beiderseits die öffentlichen Zertifikate ausgetauscht werden, um die Mails entsprechend zu entschlüsseln.
Zum Verschlüsseln wird also der private Schlüssel für die Absenderadresse und das öffentliche Zertifikat des Empfängers benötigt.
Damit signierte Emails gelesen werden können sollte die Anleitung noch ergänzt werden für diejenigen die selber keine S/MIME Signatur nutzen. Übrigens solltet ihr das bei euch auch mal konfigurieren!!!
Für Debian
Die Benutzer zur Gruppe ssl-cert hinzufügen
usermod -G ssl-cert kix
usermod -G ssl-cert www-data
Dateirechte vergeben
cd /etc/ssl/
chown root:ssl-cert certs/
chmod 775 certs/
chmod 770 private/