Autor Thema: SMIME Einrichtung  (Gelesen 81 mal)

Beatrice Müller

  • Global Moderator
  • Beiträge: 107
SMIME Einrichtung
« am: 17.10.2017 15:07:29 »
Für die Einrichtung der SMIME-Verschlüsselung sind folgende Schritte notwendig:
 
 Die SMIME-Unterstützung in KIX basiert auf OpenSSL.
 Es müsste also OpenSSL installiert werden: http://dev.antoinesolutions.com/openssl
 
  • Einrichtung OpenSSL CA:
    siehe: https://www.openssl.org/docs/man1.0.2/apps/CA.pl.html
    Anlegen der CA

    CA.pl -newca

  • Generieren privater Schlüssel und das öffentliche Zertifikat:
    siehe: https://www.openssl.org/docs/man1.0.2/apps/CA.pl.html
    Zertifikatsanfrage
     CA.pl -newreq
     Zertifikat signieren
     CA.pl -signreq

  • Konfigurieren von KIX für SMIME:
    SysConfig -> Crypt::SMIME
    o SMIME -> SMIME Support -> Ja
    o SMIME::Bin -> Lage von OpenSSL -> /usr/bin/openssl
    o SMIME::CertPath -> Verzeichnis, in dem SSL-Zertifikate gespeichert sind -> /opt/ssl/certs
    o SMIME::PrivatePath -> Verzeichnis, in dem privaten SSL-Zertifikate gelagert -> /opt/ssl/private
    Alle Verzeichnisse müssen vom Webserver-User beschreibbar sein.
     
  • Import öffentliches Zertifikat eigener CA:
    o Import öffentliches Zertifikat eigener CA über in Admin-Interface -> SMIME
    Dieses ist unter unter /opt/ssl/certs zu finden.

  • Import Private Key für KIX:
    o Import privaten Schlüssel in Admin-Interface -> SMIME
    Dieser ist unter /opt/ssl/private zu finden.

  • Import öffentliche Zertifikate der Kunden:
    o Anpassung Kunden-Benutzer -> öffentliches Zertifikat hinzufügen
    o Oder Import der öffentlichen Zertifikate in Admin-Interface -> SMIME
     Diese Zertifikate sind unter /opt/ssl/certs finden.

 Es müssten also beiderseits die öffentlichen Zertifikate ausgetauscht werden, um die Mails entsprechend zu entschlüsseln.
 Zum Verschlüsseln wird also der private Schlüssel für die Absenderadresse und das öffentliche Zertifikat des Empfängers benötigt.
 

MSR

  • Newbie
  • Beiträge: 3
Re: SMIME Einrichtung
« Antwort #1 am: 08.11.2017 08:35:48 »
Damit signierte Emails gelesen werden können sollte die Anleitung noch ergänzt werden für diejenigen die selber keine S/MIME Signatur nutzen. Übrigens solltet ihr das bei euch auch mal konfigurieren!!!

Für Debian
Die  Benutzer zur Gruppe ssl-cert hinzufügen
usermod -G ssl-cert kix
 usermod -G ssl-cert www-data

 Dateirechte vergeben

cd /etc/ssl/
chown root:ssl-cert certs/
chmod 775 certs/
chmod 770 private/