Das LDAP-Adressbuch (LDAP = Lightweight Directory Access Protocol) ist eine Art Datenbank oder ein Verzeichnis, das eine E-Mail-Anwendung über einen vordefinierten Weg (Servernamen, Port, Zweig/Suchbasis) abfragt, um zum Beispiel das Nutzerzertifikat einer E-Mail-Adresse zu erfahren. Hat man ein solches LDAP-Adressbuch in der eigenen E-Mail-Anwendung eingebunden, dann können beispielsweise direkt verschlüsselte E-Mails versendet werden, vorausgesetzt die Empfänger*innen haben ihr Nutzerzertifikat im LDAP-Adressbuch veröffentlicht. Nicht jede E-Mail muss verschlüsselt versendet werden, jedoch man kann dies bei Wunsch und nach erfolgreicher Einrichtung gezielt auswählen. Lest mehr zu der Verschlüsselung von E-Mails in Teil 2 der Blogreihe.
Das LDAP-Adressbuch an der RWTH Aachen
An der RWTH gibt es einen eigenen LDAP-Server, der als LDAP-Adressbuch eingebunden werden kann, um Nutzerzertifikate zu finden. Den Server findet ihr
- Serveradresse: ldappv.rwth-aachen.de
- Suchbasis: o=RWTH Aachen University,ou=GEANT/TCS,dc=rwth-aachen,dc=de
In diesem GÉANT-Zweig könnt ihr nach der E-Mail oder Nachnamen der Empfänger*in suchen. Es werden maximal drei Ergebnisse geliefert, das heißt eine genaue Suche (zum Beispiel die ganze E-Mail-Adresse) ist vorteilhaft.
Der GÉANT-Zweig kann in den gängigen E-Mail-Anwendungen eingebunden werden.
GÉANT/TCS vs. DFN-PKI Global
An dieser Stelle ergibt sich durch die PKI-Migration vom DFN auf GÉANT/TCS im August 2023 eine Herausforderung. Alle gültigen Nutzerzertifikate der neuen GÉANT/TCS PKI (seit August 2023 über das RA-Portal erhältlich) werden automatisch immer in den ldappv.rwth-aachen.de aufgenommen. Alle noch gültigen und veröffentlichten Nutzerzertifikate der alten DFN-PKI Global (bis Ende August 2023 ausgestellt und noch bis zu drei Jahre gültig) sind in den LDAP-Server der DFN-PKI zu finden:
- Serveradresse: ldap.pca.dfn.de
- Suchbasis: ou=DFN-PKI,o=DFN-Verein,c=de
Das bedeutet, wenn ihr alle Nutzenden an der RWTH mit einem veröffentlichen Nutzerzertifikat finden möchtet, müsst ihr beide obigen LDAP-Adressbücher einbinden. Das schnellste Suchergebnis liefert hierbei die Suche nach einer genauen E-Mail-Adresse.
Der Vorteil vom DFN-LDAP ist übrigens, dass dort auch Zertifikate von Nutzenden anderer Einrichtungen innerhalb des DFN-Vereins und außerhalb der RWTH zu finden sind. Zudem ist der DFN-LDAP weltweit erreichbar. Der Nachteil war jedoch, dass man bei der Beantragung des eigenen Zertifikats in der DFN-PKI Global wählen konnte, ob dieses im DFN-LDAP aufgenommen wird. Als Folge ist es möglich, dass Empfänger*innen, die ein Zertifikat haben, trotzdem im DFN-LDAP nicht gefunden werden. In so einem Fall müsste man zuerst digital signierte E-Mails austauschen (Handshake).
Was ist beim Austausch von verschlüsselten E-Mails zu beachten?
Wie beim digitalen Signieren, darf die eigene .p12-Datei (und somit der eigene private Schlüssel) niemals an Dritte weitergeben werden. Im Falle eines Rechnerwechsels, denkt unbedingt daran, die eigenen .p12-Dateien auf dem neuen Rechner und in der E-Mail-Anwendung neu einzubinden.
Genauso müsst ihr vorgehen, wenn ihr mehrere Rechner nutzt und darüber verschlüsselte E-Mails lesen möchtet. Hierbei müsst ihr auch abwägen, ob ihr die eigenen kryptographischen Schlüssel auch auf Geräten wie Smartphones, die einfacher gestohlen werden oder verloren gehen können, installieren möchtet. Zu empfehlen ist es, sensible E-Mails auf dem Arbeitsrechner zu öffnen.
Was ist mit dem digitalen Verschlüsseln von Dokumenten?
Auch das digitale Verschlüsseln von Dokumenten ist beispielsweise mit Microsoft Word oder Adobe Acrobat möglich. Bitte beachtet, dass es hierzu aufgrund der geringen Nachfrage bis dato noch keine Anleitungen auf IT Center Help gib.
Wie verwende ich mein Nutzerzertifikat?
Wir sind nun ans Ende der Blogreihe „Sicherheit im E-Mail-Verkehr“ angelangt. Im Folgenden fassen wir euch noch kurz die Anwendungsmöglichkeiten eurer Nutzerzertifikate zusammen:
- Zum Versenden von digital signierten E-Mails
- Zum digitalen Signieren von Dokumenten
- Zum Versenden von digital verschlüsselten E-Mails
- Zum Empfangen von digital verschlüsselten E-Mails
- Zum Authentifizieren auf Webanwendungen (nicht an der RWTH)
Die Beantragung von Nutzerzertifikaten an der RWTH erfolgt seit Mitte August 2023 über das RA-Portal. Eine Anleitung dazu findet ihr in unserem Dokumentationsportal IT Center Help.
Verantwortlich für die Inhalte dieses Beitrags sind Mirko Koch, Bernd Kohler, Jelena Nikolić und Katerina Papachristou.
Schreibe einen Kommentar