OTRS und S/MIME – Wie richte ich E-Mail-Verschlüsselung in OTRS ein?

© Maksim Kabakou, https://stock.adobe.com/de/images/security-concept-lock-on-digital-screen/41908523

Schnell-Anleitung

  1. E-Mail-Zertifikat beantragen
  2. E-Mail-Zertifikat sowie Root-Zertifikate der Zertifizierungskette herunterladen
  3. In OTRS die S/MIME-Unterstützung einschalten (SysConfig „Crypt::SMIME“)
  4. Root- und E-Mail-Zertifikate sowie den Private Key in OTRS im Admin-Bereich unter „S/MIME-Zertifikate“ hochladen
  5. Queue konfigurieren, so dass die Queue das Zertifikat nutzt

Schritt-für-Schritt-Anleitung

1. E-Mail-Zertifikat beantragen und herunterladen

Um E-Mails mit S/MIME zu verschlüsseln, benötigst du ein entsprechendes Zertifikat, welches für die E-Mail-Verschlüsselung vorgesehen ist.

Es gibt diverse Anbieter von E-Mail-Zertifikaten, leider bieten relativ wenige Anbieter kostenlose Zertifikate für den privaten Gebrauch an.

Anbieter von kostenlosen E-Mail-Zertifikaten (Stand: Juli 2019)
– WISeKey – www.wisekey.com

Wenn hier falsche Informationen stehen oder du andere kostenlose Anbieter kennst, hinterlasse bitte einen Kommentar, damit ich Änderungen vornehmen kann.

Meist musst du beim Anbieter einen Account anlegen, dann ein Zertifikat erstellen und mit Klick auf einen Link in einer Bestätigungs-E-Mail nachweisen, dass du aktuell Zugriff auf die E-Mail-Adresse hast, für die du ein Zertifikat erstellen möchtest.

Je nach Anbieter solltest du folgende Dinge zum Download bereitgestellt bekommen:

  1. Privater Schlüssel (meist eine .key-Datei)
  2. Öffentliches Zertifikat (meist eine .crt-Datei)
  3. Öffentliches Zertifikat deines Anbieters, auch „Root-Zertifikat“ genannt (meist eine oder mehrere .crt-Dateien)

Da die E-Mail-Zertifikate oft nur 1 Jahr gültig sind, lohnt es sich, über eine geeignete Speicher-Struktur nachzudenken.

Ich selber habe auf einem Datenträger, den ich regelmäßig sichere, einen Ordner „Zertifikate“, darunter „E-Mail“ und darunter „E-Mail@Adresse.de“ angelegt. Unterhalb dieses Ordners habe ich wiederum Verzeichnisse angelegt, die das Ablaufdatum des Zertifkats beinhalten sowie den Namen des Herausgebers, z.B. „2020-02-22 WISeKey“.
So behalte ich den Überblick, wo sich welches Zertifikat befindet und bis wann es läuft. Dies ist besonders wichtig, wenn man einen PC neu aufsetzen muss, denn dann muss man alle privaten Schlüssel -egal ob abgelaufen oder gültig- installieren, um verschlüsselte Nachrichten entschlüsseln zu können.

Für mein Beispiel sieht die Ordner-Struktur wie folgt aus:

B:\Zertifikate\E-Mail\max.mustermann@tk79.eu\2020-02-22 WISeKey\

Quelle: Erfahrung 😉

Für diesen Artikel werde ich die E-Mail-Adresse max.mustermann@tk79.eu in OTRS einrichten, damit aus meiner OTRS-Queue „t.korth“ über diese Adresse signierte Nachrichten verschickt werden können sowie ein verschlüsselter E-Mail-Verkehr möglich ist.

Da ich bereits Erfahrungen mit WISeKey gesammelt habe, werde ich den Erhalt eines S/MIME-Zertifikats über WISeKey erläutern.

  • Zunächst legt man sich über https://account.wisekey.com/signup einen Account an.
  • Nachdem du die Bestätigungs-E-Mail erhalten und den Bestätigungs-Link angeklickt hast, logge dich unter https://account.wisekey.com/signin in deinen Account ein.
  • Wähle nun im linken Menü den Punkt „Digital Identities“ und dort den Punkt „Request Certificate“:
  • Gib auf der folgenden Seite ein Kennwort ein, welches du für das Öffnen deines privaten Schlüssels benötigst, lies und bestätige die AGBs von WISeKey und beantrage dein Zertifikat mit Klick auf „Submit“
  • Das Kennwort ist sehr wichtig! Du solltest es gut auswendig lernen oder in einem Passwort-Manager speichern.
  • Nachdem du das Zertifikat (hoffentlich erfolgreich) beantragt hast und es ausgestellt wurde, kannst du es dir herunterladen (ich empfehle dir den Download beider Datei-Formate).
  • Speichere das Zertifikat unbedingt an einer sicheren Stelle, die du regelmäßig sicherst!

2. Root-Zertifikate der Zertifikatskette herunterladen

Damit OTRS dem Zertifikat vertraut werden kann (OTRS hat, anders als die meisten Browser, keinen Standard-Satz von vertrauten Zertifizierern), muss man die Zertifikatskette des eigenen Zertifikats herunterladen, um diese später in OTRS hochzuladen.

Wenn dein Zertifizierungsstelle die Möglichkeit anbietet, eine oder mehrere Dateien herunterzuladen, die die Zertifikatskette darstellen, kannst du diese gleich nutzen und herunterladen.

WISeKey bietet dies nicht „einfach so“ an, so dass ich den schwierigeren Weg aufzeichne, wie man an die entsprechenden Informationen kommt.

  • Zunächst musst du dein Zertifikat auf deinem Rechner importieren.

Da ich einen Windows-Rechner nutze, ist dies mit einem Doppelklick auf deine P12-Zertifikatsdatei schnell erledigt.

Es öffnet sich der Zertifikatimport-Assistent, über den du das Zertifikat importieren kannst.

Bis auf die Import-Option „Schlüssel als exportierbar markieren“ belasse alle Optionen so, wie sie dir angezeigt werden, gib das Passwort des Schlüssels ein und importiere das Zertifikat. Der Import wird mit einer Erfolgsmeldung abgeschlossen.

  • Danach öffne den Windows Zertifikats-Manager, indem du die Windows-Taste und „R“ drückst, „certmgr.msc“ eingibst und den Manager mit ENTER startest. Alternativ kannst du im Startmenü nach „zertifikat“ suchen und dann aus den Suchergebnissen „Benutzerzertifikate verwalten“ auswählen.
  • Wähle nun im Zertifikats-Manager unter „Eigene Zertifikate“ / „Zertifikate“ dein frisch erstelltes Zertifikat aus und öffne es mit einem Doppelklick.
  • Im Reiter „Zertifizierungspfad“ kannst du nun sehen, welche Zertifikate du noch für OTRS benötigst.
  • Gehe von deinem Zertifikat ausgehend Zertifikat für Zertifikat nach oben, öffne die Zertifikate und speichere sie auf deinem Rechner über die Funktion „In Datei kopieren“ ab.
  • Du solltest nun (Stand Juli 2019) 2 Zertifikate von WISeKey als Datei vorliegen haben, die die Zertifikate von „WISeKey CertifyID Personal GB CA 2“ sowie „OISTE WISeKey Global Root GB CA“ enthalten – genau die Zertifikate, die in der Zertifikats-Kette über deinem E-Mail-Zertifikat vorhanden sind.

3. OTRS für die Nutzung von S/MIME konfigurieren

In OTRS ist die Unterstützung von S/MIME nicht „von Haus aus“ eingeschaltet. Um die Unterstützung einzuschalten, gehe wie folgt vor:

  • Logge dich als Administrator in OTRS ein und wechsle zum Admin-Bereich.
  • Wenn hier kein „S/MIME-Zertifikate“ angezeigt wird, ist die Unterstützung nicht aktiviert und du musst zu „SysConfig“ wechseln.
  • Suche hier nach „smime“ und wähle in den Suchergebnissen den Punkt „Crypt::SMIME“ aus.
  • Hier musst du die Unterstützung für S/MIME aktivieren. Prüfe bitte auch die anderen Optionen, ob diese mit deiner OTRS-Installation übereinstimmen. Es muss ein funktionierendes OpenSSL installiert sein und die Pfade für die Speicherung der Zertifikats-Dateien müssen vorhanden sein.

4. Zertifikate sowie Private Key in OTRS einbunden

  • Gehe in den Admin-Bereich von OTRS und wähle den Punkt „S/MIME Zertifikate“ aus.
  • Lade hier nun deine Zertifikate und deinen private Schlüssel hoch:
    • die beiden Root-Zertifikate von WISeKey
    • dein exportiertes Zertifikat
    • dein exportierter privater Schlüssel
  • Nachdem die Dateien korrekt hochgeladen wurden, musst du in der Queue-Verwaltung alle Queues konfigurieren, die mit der Absender-Adresse auch die S/MIME-Signatur verschicken sollen.
  • Wähle hierfür den korrekten S/MIME-Schlüssel aus der Auswahlbox aus und speichere die Einstellungen.
  • Wenn du nun aus dieser Queue heraus ein E-Mail-Ticket schreibst, sollte das S/MIME-Zertifikat vorausgewählt werden und du kannst ab nun mit Kunden verschlüsselt kommunizieren (wenn du oder dein Kunde für den Kunden-Benutzer wiederum den öffentlichen Schlüssel unter „S/MIME Zertifikat“ in der Kunden-Benutzer-Verwaltung hinterlegt hast).

Ich hoffe, dass diese Anleitung einigermaßen verständlich ist und euch weiter hilft. Wenn Fragen auftreten sollten (und sollten sie noch so banal sein), schreibt sie bitte unten als Kommentar, so dass ich die Anleitung stetig verbessern kann.

Danke! 👍

Ersten Kommentar schreiben

Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht.


*