Šifrování e-mailů pro business partnery
Šifrování e-mailů pro business partnery (Příručka pro business partnery)
Verze Datum
1.1 31. 1. 2013
Autor
Tým PKI
e-mail
[email protected]
Stránka 1 z 13
Šifrování e-mailů pro business partnery
Obsah 1. Účel dokumentu.................................................................................................................................. 3 Požadavky na business partnery ............................................................................................................. 3 1.1. Certifikáty ..................................................................................................................................... 3 1.2. Požadavky na software ................................................................................................................ 3 2. Možnosti výměny certifikátů .............................................................................................................. 4 3. Nastavení MS Outlook ........................................................................................................................ 4 3.1. Odeslání vlastního certifikátu partnerovi ve Skupině ČEZ ........................................................... 4 3.2. Přenos certifikátů Skupiny ČEZ business partnerovi .................................................................... 4 3.2.1. Instalace kořenového certifikátu ČEZ Root CA ..................................................................... 4 3.2.2. Příjem certifikátu partnera ze Skupiny ČEZ........................................................................... 5 3.2.3. Příjem certifikátu business partnera ..................................................................................... 6 4. Aktivace zabezpečení v MS Outlook ................................................................................................... 7 4.1. Aktivace - Outlook 2003 ............................................................................................................... 7 4.2. Aktivace - Outlook 2010 ............................................................................................................. 10 5. Shrnutí ............................................................................................................................................... 13
Stránka 2 z 13
Šifrování e-mailů pro business partnery
1. Účel dokumentu Tato příručka je určena pro business partnery Skupiny ČEZ, kteří chtějí komunikovat se svými partnery ve Skupině ČEZ prostřednictvím šifrovaných e-mailů. Popisuje systémové požadavky, které musí být splněny a jaká konfigurační nastavení (Outlook, Windows) jsou nezbytná pro dosažení zabezpečené komunikace (podepsané a/nebo šifrované e-maily). Dokument rovněž popisuje možnosti výměny klíčů
Požadavky na business partnery 1.1. Certifikáty Pro odesílání šifrovaných resp. elektronicky podepsaných e-mailů potřebují business partneři certifikáty.
1.2. Požadavky na software Podmínkou, pro šifrování pomocí certifikátů podle standardu X.509, je podpora tohoto standardu v daném poštovním klientovi. Klient rovněž musí vyhodnocovat pole „použití klíče“ („key usage“) v certifikátu. Poštovní klient MS Outlook od verze 2003 a vyšší, tyto požadavky splňuje a je kompatibilní s ČEZ PKI bez dalších požadavku na doplňkové instalace.
Stránka 3 z 13
Šifrování e-mailů pro business partnery
2. Možnosti výměny certifikátů Business partneři a korporátní uživatelé nesdílejí společné úložiště pro uložení certifikátů. Výměna certifikátů může proběhnout v zásadě dvěma způsoby: 1. fyzickým předáním certifikátů na výměnném médiu (např. USB fash apod.) 2. elektronicky, připojení elektronického podpisu k odesílané zprávě – viz. kapitola 4.
3. Nastavení MS Outlook 3.1. Odeslání vlastního certifikátu partnerovi ve Skupině ČEZ Tento odstavec popisuje, jak může business partner elektronicky doručit vlastní certifikát internímu uživateli Skupiny ČEZ. Podmínkou pro odeslání certifikátu v podepsané zprávě je aktivace zabezpečení v MS Outlook (viz. kapitola 5) a nastavení podle Obrázek 1
Obrázek 1 – odesílání certifikát s podepsanou zprávou
3.2. Přenos certifikátů Skupiny ČEZ business partnerovi Tento odstavec popisuje, jak lze získat certifikáty Skupiny ČEZ. 3.2.1. Instalace kořenového certifikátu ČEZ Root CA Popis instalace CEZ Root CA: Certifikáty ČEZ PKI lze stáhnout z webu https://pki.cez.cz Uložte si certifikát v požadovaném formátu, např. WINPPKIROOT CEZ Root CA.crt
Stránka 4 z 13
Šifrování e-mailů pro business partnery Klikněte pravým tlačítkem myši na uložený certifikát a zvolte Instalovat certifikát. Během importu zvolte automatickou volbu úložiště a potvrďte dotaz na uložení certifikátu do úložiště důvěryhodných kořenových certifikačních autorit (Obrázek 4) 3.2.2. Příjem certifikátu partnera ze Skupiny ČEZ Nejjednodušším způsobem jak zajistit přenos certifikátů partnera ze Skupiny ČEZ je prostřednictvím elektronický podepsané zprávy. Požádejte partnera ze Skupiny ČEZ, aby Vám takovou zprávu zaslal. Pokud jste doposud neprovedli import kořenového certifikátu ČEZ Root CA objeví se hlášení viz. obrázek 2
Obrázek 2 – v tomto okamžiku není elektronický podpis důvěryhodný
Kliknutím na žlutou značku s vykřičníkem můžete provést import certifikátů.
Obrázek 3 – souhlas s importem kořenového certifikátu
Tlačítkem Důvěřovat vyjádříte důvěru k certifikátu kořenové certifikační autority Skupiny ČEZ. Dokončení importu potvrdíte tlačítkem Ano (Yes)
Stránka 5 z 13
Šifrování e-mailů pro business partnery
Obrázek 4 – potvrzení importu kořenového certifikátu
Po instalaci kořenového certifikátu proveďte import odesilatele do lokálních kontaktů. Poznámka: Elektronický podpis se zobrazí jako platný, až po opětovném otevření zprávy. 3.2.3. Příjem certifikátu business partnera Podobně jako pro business partnera je také pro korporátního uživatele nejjednodušším způsobem získání certifikátu příjem elektronicky podepsaného e-mailu. Podmínkou je, aby odesilatel používal nastavení podle obrázku 1. Informace o odesilateli, včetně certifikátu, si korporátní uživatel uloží do lokálních kontaktů poštovního klienta (MS Outlook).
Stránka 6 z 13
Šifrování e-mailů pro business partnery
4. Aktivace zabezpečení v MS Outlook 4.1. Aktivace - Outlook 2003 1. V nabídce Nástroje zvolit Možnosti a kliknout na Nastavení…
Obrázek 5 - Zabezpečení - výchozí nastavení
Stránka 7 z 13
Šifrování e-mailů pro business partnery 2. V položce Název nastavení zabezpečení se objeví: Nastavení S/MIME a odpovídající e-mail. (případně doplňte jiný vhodný text). Nachází-li se v úložišti certifikátů jediný vhodný certifikát pro podepisování/šifrování potvrďte tlačítkem OK. V opačném případě proveďte výběr ručně (tlačítko Vybrat). Pro pole definující algoritmus ponechte přednastavené hodnoty (mohou se lišit od těch na obrázku)
Obrázek 6 - Potvrzení nastavení
3. Potvrdit výchozí nastavení pro šifrovaný e-mail tlačítkem OK
Stránka 8 z 13
Šifrování e-mailů pro business partnery
Obrázek 7 - Potvrzení nastavení pro šifrovaný e-mail
4. V nástrojové liště okna pro novou zprávu se objeví ikony pro šifrování a podepisování
Obrázek 8 - ikony pro šifrování a podepisování
Stránka 9 z 13
Šifrování e-mailů pro business partnery
4.2. Aktivace - Outlook 2010 1. V nabídce Soubor zvolit Možnosti a kliknout na Centrum zabezpečení a dále zvolit Nastavení Centra zabezpečení
Obrázek 9 – Možnosti aplikace Outlook
2. V sekci šifrovaný e-mail kliknout na tlačítko Nastavení…
Obrázek 10 – Centrum zabezpečení
Stránka 10 z 13
Šifrování e-mailů pro business partnery
3. Pokud se v úložišti certifikátu nacházejí pouze jediný vhodný certifikát pro podepisování/šifrování potvrďte tlačítkem OK. Nastavení parametrů podle níže uvedeného obrázku automaticky. V opačném případě proveďte výběr ručně tlačítkem Vybrat. Pro pole definující algoritmus ponechte přednastavené hodnoty (mohou se lišit od těch na obrázku)
Obrázek 11 – nastavení zabezpečení
4. Dokončení nastavení zabezpečení elektronické pošty v Centru zabezpečení – potvrdit tlačítkem OK
Obrázek 12 – Centrum zabezpečení
Stránka 11 z 13
Šifrování e-mailů pro business partnery 5. Dokončení nastavení zabezpečení elektronické pošty v Možnostech aplikace Outlook – potvrdit tlačítkem OK
Obrázek 13 – Možnosti aplikace Outlook
6. Při psaní nové zprávy jsou na záložce Možnosti dostupné ikonky pro podpis a šifrování
Obrázek 14 – okno nové zprávy, záložka: Možnosti
Stránka 12 z 13
Šifrování e-mailů pro business partnery
5. Shrnutí Předložený dokumentu popisuje postup aktivace zabezpečení elektronické poštovní komunikace mezi korporátními uživateli a jejich business partnery. Popisuje pouze jeden z možných způsobů této aktivace. Při importu certifikátu kořenové certifikační autority Skupiny ČEZ musí business partner zohlednit i bezpečnostní aspekty vyplývající z vlastní bezpečnostní politiky. V případě potíží kontaktujte svého garanta ze skupiny ČEZ případně pracoviště ServiceDesku.
Zálohujte si šifrovací certifikát. Předejte tím případným problémům v budoucnosti!
Stránka 13 z 13