Hauptmenü

SMIME Einrichtung

Begonnen von Beatrice Müller, 17.10.2017 15:07:29

⏪ vorheriges - nächstes ⏩

Beatrice Müller

Für die Einrichtung der SMIME-Verschlüsselung sind folgende Schritte notwendig:

Die SMIME-Unterstützung in KIX basiert auf OpenSSL.
Es müsste also OpenSSL installiert werden: https://www.openssl.org/


       
  • Einrichtung OpenSSL CA:
    siehe: https://www.openssl.org/docs/man1.0.2/apps/CA.pl.html
    Anlegen der CA

    CA.pl -newca
  • Generieren privater Schlüssel und das öffentliche Zertifikat:
    siehe: https://www.openssl.org/docs/man1.0.2/apps/CA.pl.html
    Zertifikatsanfrage
    CA.pl -newreq
    Zertifikat signieren
    CA.pl -signreq
  • Konfigurieren von KIX für SMIME:
    SysConfig -> Crypt::SMIME
    o SMIME -> SMIME Support -> Ja
    o SMIME::Bin -> Lage von OpenSSL -> /usr/bin/openssl
    o SMIME::CertPath -> Verzeichnis, in dem SSL-Zertifikate gespeichert sind -> /opt/ssl/certs
    o SMIME::PrivatePath -> Verzeichnis, in dem privaten SSL-Zertifikate gelagert -> /opt/ssl/private
    Alle Verzeichnisse müssen vom Webserver-User beschreibbar sein.
  • Import öffentliches Zertifikat eigener CA:
    o Import öffentliches Zertifikat eigener CA über Admin-Interface -> SMIME
    Dieses ist unter /opt/ssl/certs zu finden.
  • Import Private Key für KIX:
    o Import privaten Schlüssel in Admin-Interface -> SMIME
    Dieser ist unter /opt/ssl/private zu finden.
  • Import öffentliche Zertifikate der Kunden:
    o Anpassung Kunden-Benutzer -> öffentliches Zertifikat hinzufügen
    o Oder Import der öffentlichen Zertifikate in Admin-Interface -> SMIME
    Diese Zertifikate sind unter /opt/ssl/certs finden.
Es müssten also beiderseits die öffentlichen Zertifikate ausgetauscht werden, um die Mails entsprechend zu entschlüsseln.
Zum Verschlüsseln wird also der private Schlüssel für die Absenderadresse und das öffentliche Zertifikat des Empfängers benötigt.

MSR

#1
Damit signierte Emails gelesen werden können sollte die Anleitung noch ergänzt werden für diejenigen die selber keine S/MIME Signatur nutzen. Übrigens solltet ihr das bei euch auch mal konfigurieren!!!

Für Debian
Die  Benutzer zur Gruppe ssl-cert hinzufügen

usermod -G ssl-cert kix
usermod -G ssl-cert www-data


Dateirechte vergeben

cd /etc/ssl/
chown root:ssl-cert certs/
chmod 775 certs/
chmod 770 private/