MS Windows verfügt über einen guten Mechanismus zum Verschlüsseln und Signieren von E-Mails mit Benutzerzertifikaten auf Smartcards (Token). Es ist jedoch nicht immer klar, wie in einer hybriden IT-Infrastruktur damit gearbeitet werden soll, wenn ein Teil der Workstations oder sogar alle unter der Kontrolle des Betriebssystems mit dem Linux-Kernel arbeiten.
Das Problem ist, dass Programme in Standard-Linux-Distributionen in der Regel nicht mit Schlüsselmedien funktionieren, in unserem Fall mit Smartcards. Dieses Problem kann jedoch immer behoben werden, indem die entsprechenden Module in Standard-Repositorys installiert und konfiguriert werden.
In diesem Artikel beschreiben wir den Prozess der Verschlüsselung von E-Mails mit einem Zertifikat für das von Aladdin R.D. entwickelte JaCarta-Token im Evolution-E-Mail-Client in der Debian-Distribution und demonstrieren die Fähigkeit, E-Mail-Nachrichten in einer hybriden IT-Infrastruktur zu verschlüsseln.
Allgemeines Entscheidungsprinzip
Mit dem Befehl modutil registrieren wir die PKCS11-Bibliothek für den Mail-Client.
Danach wird das Zertifikat auf JaCarta in der Liste der persönlichen Zertifikate in den Einstellungen angezeigt.
Das folgende ist das Zertifikat für sMIME-Operationen.
7 Schritte zum Verschlüsseln von E-Mails
Zertifikatverschlüsselung mit JaCarta-Token auf dem Debian-System und dem Evolution-Mail-Client:
1. Installieren Sie das libnss3-tools-Paket:
# apt install libnss3-tools
2. Registrieren Sie das Modul nach dem Schließen von Evolution:
modutil -add "JaCarta" -libfile /usr/lib/libjcPKCS11-2.so -dbdir ~/.local/share/evolution;/
3. Verbinden Sie JaCarta und starten Sie Evolution (bei Eingabe der Einstellungen sollte ein PIN-Code angefordert werden).
4. Wählen Sie in den Kontoeinstellungen im Abschnitt Sicherheit das Zertifikat für die Verschlüsselung (Verschlüsselungszertifikat) aus:
5. Wählen Sie im Adressbuch den Empfänger aus.
6. Öffnen Sie die Eigenschaften und geben Sie im Abschnitt "Zertifikate" den geöffneten Teil des Zertifikats dieses Benutzers aus der * .cer-Datei an (diese Datei kann standardmäßig im DER-Format exportiert werden).
7. Geben Sie beim Senden von E-Mails in den Optionen die S / MIME-Verschlüsselung an (Optionen → Mit S / MIME verschlüsseln).
Wenn der Adressat ein Zertifikat im Adressbuch hat, wird die Nachricht verschlüsselt und erfolgreich gesendet, und der Empfang und das Lesen verschlüsselter E-Mails sind verfügbar.
Fazit
Ebenso können wir die Signatur von Nachrichten konfigurieren. Dazu müssen Sie das CA-Zertifikat hinzufügen, das das Zertifikat für den Benutzer auf der Absender- und Empfängerseite ausgestellt hat:
Vielen Dank für Ihre Aufmerksamkeit!