Leitfäden für digital signierte und verschlüsselte E-Mails
Dieses Dokument umfasst Beispielverfahren zum Bereitstellen und Konfigurieren von E-Mail-Diensten, die im Betriebssystem Microsoft Windows Server 2003 enthalten sind. In Verbindung mit den Microsoft Zertifikatdiensten bilden die E-Mail-Dienste ein Fundament zum Unterstützen digitaler Signaturen und verschlüsselten E-Mail-Verkehrs innerhalb einer Organisation oder mit einer externen Organisation.
Auf dieser Seite
 | Einführung |
| Übersicht |
| Konfigurieren von E-Mail-Diensten |
| Abrufen digitaler IDs |
| Digitales Signieren und Verschlüsseln von E-Mails |
| Weitere Ressourcen |
Einführung
Leitfäden
Die Leitfäden für die Bereitstellung von Windows Server 2003 vermitteln praktische Erfahrungen zum Umgang mit vielen allgemeinen Betriebssystemkonfigurationen. Die Leitfäden beginnen über die Installation von Windows Server 2003, die Konfiguration von Active Directory®, die Installation einer Windows XP Professional-Arbeitsstation und dem abschließenden Hinzufügen dieser Arbeitsstation zu einer Domäne mit der Einrichtung einer allgemeinen Netzwerkinfrastruktur. In den nachfolgenden Leitfäden wird davon ausgegangen, dass diese allgemeine Netzwerkinfrastruktur vorhanden ist. Wenn Sie dieser allgemeinen Netzwerkinfrastruktur nicht folgen möchten, müssen Sie bei der Verwendung dieser Leitfäden entsprechende Änderungen vornehmen.
Die allgemeine Netzwerkinfrastruktur erfordert die Durchführung der folgenden Anleitungen.
| • | Teil I: Installieren von Windows Server 2003 als Domänencontroller |
| • |
Nachdem die allgemeine Netzwerkinfrastruktur konfiguriert wurde, können beliebige zusätzliche Leitfäden angewandt werden. Beachten Sie, dass einige Leitfäden neben den allgemeinen Anforderungen an die Netzwerkinfrastruktur u.U. zusätzliche Voraussetzungen erfordern. Zusätzliche Anforderungen werden im jeweiligen Leitfaden vermerkt.
Microsoft Virtual PC
Der Leitfaden für die Bereitstellung von Windows Server 2003 kann innerhalb einer physischen Laborumgebung oder mithilfe von Virtualisierungstechnologien wie Microsoft Virtual PC 2004 oder Microsoft Virtual Server 2005 implementiert werden. Die virtuelle Computertechnologie ermöglicht es Kunden, mehrere Betriebssysteme gleichzeitig auf einem einzelnen physischen Server auszuführen. Virtual PC 2004 und Virtual Server 2005 wurden entwickelt, um die operative Effizienz beim Testen und Bereitstellen von Software, bei der Migration von Legacyanwendungen und bei der Serverkonsolidierung zu verbessern.
In den Leitfäden zur Bereitstellung von Windows Server 2003 wird bei allen Konfigurationen von einer physischen Laborumgebung ausgegangen, wobei die meisten Konfigurationen jedoch auch unverändert in einer virtuellen Umgebung zum Einsatz kommen können.
Die Übertragung der hier erläuterten Konzepte auf eine virtuelle Umgebung ist allerdings nicht Gegenstand des vorliegenden Dokuments.
Wichtige Hinweise
Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänennamen, E-Mail-Adressen, Logos, Personen, Orten oder Ereignissen ist rein zufällig.
Diese allgemeine Infrastruktur ist für die Verwendung in einem privaten Netzwerk ausgelegt. Der in dieser Infrastruktur verwendete fiktive Firmenname und der DNS-Name (Domain Name System) sind nicht für die Verwendung im Internet registriert. Die Namen sollten daher nicht in einem öffentlichen Netzwerk oder im Internet verwendet werden.
Die Struktur des Verzeichnisdienstes Active Directory für diese allgemeine Infrastruktur soll zeigen, wie die Änderungs- und Konfigurationsverwaltung von Windows Server 2003 in Verbindung mit Active Directory funktioniert. Sie stellt kein Modell für die Konfiguration von Active Directory in einer beliebigen Organisation dar.
Übersicht
Einzelne Personen und Organisationen verwenden E-Mails zunehmend als Tool zum Versenden vertraulicher Daten. Angesichts der sensiblen Charakters von Daten müssen E-Mail-Systeme Mechanismen zum Schutz vor Änderung der Daten bieten. Gleichzeitig muss sichergestellt sein, dass die Nachrichten nicht abgefangen und nur vom vorgesehenen Empfänger gelesen werden können.
Durch die Verwendung digitaler IDs mit Microsoft Outlook oder Outlook Express können Sie Ihre Identität bei elektronischen Transaktionen belegen, ähnlich wie Sie mithilfe Ihres Personalausweises einen Scheck einlösen. Sie können mit einer digitalen ID auch Nachrichten verschlüsseln, wodurch diese dann nicht mehr öffentlich einsehbar sind. Digitale IDs verwenden die S/MIME-Spezifikation (Secure/Multipurpose Internet Mail Extensions) für sichere E-Mails.
Funktionsweise digitaler IDs
Eine digitale ID besteht aus einem öffentlichen Schlüssel, einem privaten Schlüssel sowie einer digitalen Signatur. Beim digitalen Signieren von Nachrichten wird diesen eine digitale Signatur und ein öffentlicher Schlüssel hinzugefügt. Die Kombination von digitaler Signatur und öffentlichem Schlüssel bezeichnet man als Zertifikat. Mithilfe von Outlook oder Outlook Express kann ein Zertifikat für die Verwendung durch Dritte angegeben werden, die versuchen, Ihnen verschlüsselte Nachrichten zu senden. Dieses Zertifikat unterscheidet sich möglicherweise von Ihrem Signaturzertifikat.
E-Mail-Empfänger verwenden eine digitale Signatur, um die Identität des Absenders zu überprüfen. E-Mail-Absender verwenden einen öffentlichen Schlüssel zum Verschlüsseln von E-Mails, die nur der dafür bestimmte Empfänger mit dem entsprechenden privaten Schlüssel lesen kann. Das Adressbuch muss eine digitale ID für den Empfänger enthalten, damit verschlüsselte Nachrichten gesendet werden können. Auf diese Weise können E-Mail-Absender den öffentlichen Schlüssel des Empfängers zum Verschlüsseln einer Nachricht verwenden. Wenn Empfänger eine verschlüsselte Nachricht erhalten, wird ihr privater Schlüssel zum Entschlüsseln verwendet, damit die Nachricht gelesen werden kann.
Sie müssen eine digitale ID erhalten, bevor Sie digital signierte Nachrichten absenden können. Wenn Sie verschlüsselte Nachrichten versenden, muss Ihr Adressbuch eine digitale ID für jeden Empfänger enthalten.
Erhalten digitaler IDs
Digitale IDs werden von unabhängigen Zertifizierungsstellen (Certification Authorities, CA) vergeben, und sie können zu geschäftlichen Zwecken oder für den Privatgebrauch verwendet werden. Beim Beantragen einer digitalen ID auf der Webseite einer Zertifizierungsstelle wird die Identität des Antragstellers vor dem Ausstellen der ID überprüft. Es gibt unterschiedliche Klassen digitaler IDs, von denen jede verschiedene Ebenen der Vertrauenswürdigkeit zertifiziert. Weitere Informationen erhalten Sie auf der Webseite Where to Get Your Digital ID (nur auf Englisch verfügbar).
Überprüfen digitaler Signaturen
Mithilfe der Funktion zum Prüfen von Zertifikaten können E-Mail-Empfänger die Gültigkeit einer digital signierten Nachricht überprüfen. Beim Überprüfen einer digitalen Signatur fordert der Outlook-Client bei der entsprechenden Zertifizierungsstelle Informationen über die digitale ID an. Die Zertifizierungsstelle sendet Statusinformationen über die digitale ID zurück (z. B. über die Sperrung der ID). Die Zertifizierungsstellen protokollieren Zertifikate, die infolge von Verlust oder Ablauf gesperrt wurden.
Voraussetzungen
Konfigurieren von E-Mail-Diensten
Mithilfe der E-Mail-Dienste können Sie Komponenten auf Ihrem Computer installieren, um diesen als Mailserver zu konfigurieren. Die E-Mail-Dienste umfassen den POP3-Dienst (Post Office Protocol 3) sowie den SMTP-Dienst (Simple Mail Transfer Protocol), die E-Mails entweder abrufen oder übertragen. Administratoren können Postfächer auf dem Server erstellen, um Benutzern E-Mail-Dienste wie das Senden und Empfangen von E-Mails zu ermöglichen.
POP3
Der POP3-Dienst ist ein E-Mail-Dienst, der E-Mails abruft. Administratoren können den POP3-Dienst zum Speichern und Verwalten von E-Mail-Konten auf dem Mailserver verwenden. Wenn der POP3-Dienst auf dem Mailserver installiert ist, können Benutzer eine Verbindung zum Mailserver herstellen und E-Mails auf ihrem lokalen Computer abrufen, indem Sie POP3-Protokolle (z. B. Outlook oder Outlook Express) unterstützende E-Mail-Clients verwenden. Der POP3-Dienst wird in Verbindung mit dem SMTP-Dienst verwendet, der ausgehende E-Mails sendet.
SMTP
SMTP steuert die Art und Weise, wie E-Mails in einer Organisation oder über das Internet auf einen Zielserver übertragen werden. SMTP empfängt und sendet E-Mails zwischen Servern. Der SMTP-Dienst wird automatisch auf dem Computer installiert, auf dem der POP3-Dienst installiert ist, damit Benutzer ausgehende E-Mails senden können. Wenn Sie eine Domäne erstellen, die den POP3-Dienst verwendet, wird die Domäne dem SMTP-Dienst ebenfalls hinzugefügt, um Postfächern in dieser Domäne das Senden ausgehender E-Mails zu ermöglichen. Der SMTP-Dienst auf dem Mailserver empfängt eingehende E-Mails und überträgt diese in den Postspeicher.
Einrichten von E-Mail-Diensten
So installieren Sie E-Mail-Dienste
1. | Melden Sie sich unter HQ-CON-DC-01 als Administrator@contoso.com an. |
2. | Klicken Sie auf die Schaltfläche Start, klicken Sie dann auf Systemsteuerung und anschließend auf Software. |
3. | Klicken Sie auf Windows-Komponenten hinzufügen/entfernen, aktivieren Sie das Kontrollkästchen E-Mail-Dienste, und klicken Sie dann auf Weiter. (Beachten Sie, dass Sie möglicherweise Ihre Installations-CD benötigen, um fortzufahren.) |
4. | Nach Abschluss des Assistenten für Windows-Komponenten, klicken Sie auf Fertig stellen, und schließen Sie dann das Fenster Software. |
So konfigurieren Sie E-Mail-Dienste
1. | Klicken Sie auf die Schaltfläche Start, zeigen Sie auf Alle Programme und dann auf Verwaltung, und klicken Sie anschließend auf POP3-Dienst. |
2. | Klicken Sie in der linken Struktur unter POP3-Dienst auf HQ-CON-DC-01. |
3. | Klicken Sie auf die Verknüpfung Neue Domäne, geben Sie contoso.com als Domänennamen ein, und klicken Sie dann auf OK. |
4. | Doppelklicken Sie im rechten Teilfenster auf contoso.com. Die Struktur im linken Feld erweitert sich unter HQ-CON-DC-01 und zeigt die Domäne contoso.com an. Klicken Sie auf die Verknüpfung Postfach hinzufügen. |
5. | Geben Sie im Fenster Postfach hinzufügenmike als Postfachnamen ein, deaktivieren Sie das Kontrollkästchen Einen mit diesem Postfach assoziierten Benutzer erstellen, klicken Sie auf OK, und dann erneut auf OK, nachdem das Bestätigungsfenster POP3-Dienst angezeigt wurde. |
6. | Klicken Sie erneut auf die Verknüpfung Postfach hinzufügen, und wiederholen Sie Schritt 5, um ein Postfach für den Administrator zu erstellen. Hinweis: Da die Active Directory-Konten vor der Installation von E-Mail-Diensten eingerichtet wurden, ist die manuelle Konfiguration der Postfächer erforderlich. Die Konfiguration des POP3-Dienstes aktualisiert die Benutzerdaten für Active Directory in Form einer zugeordneten E-Mail-Adresse, vorausgesetzt, die Anmelde- und Postfachnamen sind identisch. Der POP3-Dienst ermöglicht beim Festlegen eines neuen Postfachs das automatische Erstellen eines Benutzerkontos. |
7. | Minimieren Sie die Verwaltungskonsole für den POP3-Dienst. |
So testen Sie grundlegende E-Mail-Funktionen
1. | Klicken Sie auf die Schaltfläche Start, zeigen Sie auf Alle Programme, und klicken Sie dann auf Outlook Express. |
2. | Geben Sie auf dem Bildschirm Assistent für den Internetzugang die Zeichenfolge ContosoAdministrator als Anzeigename ein, und klicken Sie dann auf Weiter. |
3. | Geben Sie administrator@contoso.com als E-Mail-Adresse ein, und klicken Sie dann auf Weiter. |
4. | Geben Sie sowohl für den Posteingangsserver als auch für den Postausgangsserver die Zeichenfolge HQ-CON-DC-01 ein, und klicken Sie dann auf Weiter. |
5. | Ändern Sie bei der Anzeige Internet-E-Mail-Anmeldung den Anmeldenamen zu administrator@contoso.com, geben Sie das Kennwort für das Konto Administrator an, und klicken Sie dann auf Weiter. |
6. | Klicken Sie auf Fertig stellen. |
7. | Klicken Sie auf die Schaltfläche Senden/Empfangen, um die erfolgreiche Zusammenarbeit mit dem E-Mail-Server zu gewährleisten. |
8. | Klicken Sie auf Neue E-Mail, geben Sie mike@contoso.com als Adresse und als BetreffTest-E-Mail ein, und klicken Sie dann auf Senden. |
9. | Maximieren Sie die Verwaltungskonsole für den POP3-Dienst. |
10. | Überprüfen Sie im rechten Ergebnisfeld unter der Struktur HQ-CON-DC-01, dass das Postfach für Mike eine Nachricht enthält, und schließen Sie dann die Verwaltungskonsole für den POP3-Dienst. |
Abrufen digitaler IDs
Zahlreiche Organisationen installieren ihre eigenen Zertifizierungsstellen und stellen Zertifikate an interne Geräte, Dienste und Mitarbeiter aus, um eine sicherere Computerumgebung zu schaffen. Große Organisationen verfügen möglicherweise über mehrere hierarchisch angeordnete Zertifizierungsstellen, die zu einer vertrauenswürdigen Stammzertifizierungsstelle führen. Daher verfügen Mitarbeiter einer Organisation möglicherweise über eine Vielzahl an Zertifikaten in ihrem Zertifikatspeicher, die von zahlreichen internen Zertifizierungsstellen ausgestellt worden sind, die alle eine vertrauenswürdige Verbindung über einen Zertifizierungspfad zur Stammzertifizierungsstelle nutzen.
In den folgenden Abschnitten werden von der Contoso-Zertifizierungsstelle E-Mail-Signaturzertifikate an Domänenmitglieder ausgestellt, die in den angegebenen Beispielen über keine vertrauenwürdige Verbindung zu einer kommerziellen Stammzertifizierungsstelle verfügen. Das bedeutet, dass sichere E-Mails innerhalb der Contoso-Umgebung auf Zertifikaten basieren, die von der Contoso-Zertifizierungsstelle ausgestellt wurden und innerhalb des Contoso-Netzwerks überprüfbar sind. Allerdings lässt sich eine sichere E-Mail nicht überprüfen, wenn Sie das Contoso-Netzwerk verlässt, solange keine Vertrauensstellung von der Contoso-Zertifizierungsstelle zu einer kommerziellen Stammzertifizierungsstelle aufgebaut wird.
Sie können für die private oder betriebliche Nutzung ein Zertifikat von einer kommerziellen Zertifizierungsstelle erwerben (z. B. Verisign). Nachdem Sie ein Zertifikat erworben haben und es zum digitalen Signieren von E-Mail-Nachrichten verwenden, kann jeder Empfänger belegen, dass die Nachricht während der Übertragung nicht verändert wurde und dass die Nachricht von Ihnen stammt. Natürlich unter der Voraussetzung, dass der Nachrichtenempfänger der Zertifizierungsstelle vertraut, die Ihr Zertifikat ausgestellt hat.
Hinweis: Von kommerziellen Zertifizierungsstellen stammende persönliche Zertifikate können in den folgenden Abschnitten als Alternativen zu den von der Contoso-Zertifizierungsstelle ausgestellten Zertifikaten verwendet werden. Auf diese Weise wird das Beispiel über den Conto-Namespace hinaus erweitert.
Abrufen einer digitalen ID von der Contoso-Zertifizierungsstelle
Zertifikatanforderungen müssen von dem Benutzer, Computer oder Dienst gestellt werden, der Zugriff auf den dem öffentlichen Schlüssel zugeordneten privaten Schlüssel hat, der Teil des Zertifikats ist. Unter Windows Server 2003 gibt es zwei hauptsächliche Möglichkeiten, um Zertifikate explizit anzufordern.
| • | Fordern Sie Zertifikate mithilfe des Zertifikatanforderungs-Assistenten an Wenn Sie ein Zertifikat von einer Windows Server 2003-Unternehmenszertifizierungsstelle anfordern, können Sie den Zertifikatanforderungs-Assistenten im Zertifikats-Snap-In verwenden. |
| • | Fordern Sie Zertifikate mithilfe der Webseiten für Windows Server 2003-Zertifikatsdienste an Jede Zertifizierungsstelle, die auf einem Windows Server 2003 ausführenden Computer installiert ist, verfügt über Webseiten, auf die Benutzer zugreifen können, um grundlegende und erweiterte Zertifikatanfoderungen einzureichen. Diese Webseiten befinden sich standardmäßig unter http://servername/certsrv, wobei der Servername mit dem Namen des Windows Server 2003 ausführenden Computers identisch ist. So fordern Sie ein Zertifikat mithilfe des Zertifikatanforderungs-Assistenten an |
1. | Klicken Sie unter HQ-CON-DC-01 auf die Schaltfläche Start, dann auf Ausführen. Geben Sie certmgr.msc ein, und klicken Sie dann auf OK. |
2. | Klicken Sie unter Zertifikate – Aktueller Benutzer, neben Persönlich auf das Pluszeichen (+), um den Ordner zu erweitern. |
3. | Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf AlleTasks, und klicken Sie anschließend auf Neues Zertifikat anfordern. Klicken Sie auf der Willkommensseite des Zertifikatanforderungs-Assistenten auf Weiter. |
4. | Klicken Sie unter Zertifikattyp auf Benutzer, und klicken Sie dann auf Weiter. |
5. | Geben Sie Digital ID als Angezeigter Name ein, und klicken Sie dann auf Weiter. |
6. | Stellen Sie sicher, dass die Einstellungen für die Zertifikatanforderung denen in Abbildung 1 entsprechen, und klicken Sie dann auf Fertig stellen.  Abbildung1. Eine Zertifikatanforderung |
7. | Klicken Sie auf OK, um die erfolgreiche Zertifikatanforderung zu bestätigen. |
8. | Schließen Sie die Zertifikatverwaltung. |
Konfigurieren der Zertifikatdienste für automatische Registrierung
Die automatische Registrierung ist ein hilfreiches Feature der Zertifizierungsdienste unter Windows XP und Windows Server 2003, Standard Edition. Die automatische Registrierung ermöglicht es dem Administrator, Antragsteller ohne deren Interaktion zur automatischen Zertifikatregistrierung zu konfigurieren, ausgestellte Zertifikate aufzurufen und ablaufende Zertifikate zu erneuern. Der Antragsteller braucht diese Zertifizierungsvorgänge nicht zu beachten. Es sei denn, die Zertifikatvorlage wird zur Interaktion mit dem Antragsteller konfiguriert.
So konfigurieren Sie die automatische Zertifikatregistrierung
1. | Klicken Sie auf die Schaltfläche Start, zeigen Sie auf Alle Programme und dann auf Verwaltung. Klicken Sie anschließend auf Gruppenrichtlinienverwaltung. |
2. | Klicken Sie auf das Pluszeichen (+) neben der Gesamtstruktur:contoso.com und dann auf das Pluszeichen (+) neben Domänen. Klicken Sie unter der Contoso-Gesamtstruktur mit der rechten Maustaste auf Domänenkennwortrichtlinie, und klicken Sie dann auf Umbenennen. Hinweis: Überprüfen Sie, dass Sie unter der Stammdomäne contoso.com arbeiten. |
3. | Ändern Sie die Domänenkennwortrichtlinie zu Domänenkennwort und Zertifikatrichtlinie, und drücken Sie dann die EINGABETASTE. |
4. | Klicken Sie mit der rechten Maustaste auf Domänenkennwort und Zertifikatrichtlinie, und klicken Sie dann auf Bearbeiten. |
5. | Erweitern Sie unter Computerkonfiguration die Struktur Windows-Einstellungen, erweitern Sie anschließend die Struktur Sicherheitseinstellungen, und klicken Sie dann auf Richtlinien öffentlicher Schlüssel. |
6. | Doppelklicken Sie im rechten Ergebnisbereich auf Einstellungen für die automatische Registrierung. |
7. | Aktivieren Sie unter Zertifikate automatisch registrieren (Abbildung 2) beide Kontrollkästchen, und klicken Sie dann auf OK.  Abbildung 2. Automatische Zertifikatregistrierung |
8. | Wiederholen Sie die Schritte 5 bis 7, um die automatische Zertifikatregistrierung für den Abschnitt Benutzerkonfiguration von Domänenkennwort und Zertifikatrichtlinie zu konfigurieren. |
9. | Schließen Sie den Gruppenrichtlinienobjekt-Editor, und schließen Sie dann das Fenster Gruppenrichtlinienverwaltung. |
10. | Klicken Sie auf die Schaltfläche Start, dann auf Ausführen, und geben Sie certsrv.msc ein. Anschließend klicken Sie auf OK. |
11. | Klicken Sie unter der Struktur Zertifizierungsstelle auf das Pluszeichen (+) neben ContosoCA, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagenund dann auf Verwalten. |
12. | Klicken Sie mit der rechten Maustaste auf die Vorlage Benutzer, und klicken Sie dann auf Doppelte Vorlage. |
13. | Geben Sie für Vorlagenanzeigename die Zeichenfolge Automatisch registrierter Benutzer ein, und klicken Sie dann auf die Registerkarte Sicherheit. |
14. | Klicken Sie unter Gruppen- oder Benutzernamen auf Domänen-Benutzer. |
15. | Aktivieren Sie unter Berechtigungen für Domänen-Benutzer neben Automatisch registrieren das Kontrollkästchen Zulassen, wie in Abbildung 3 dargestellt, und klicken Sie dann auf OK.  Abbildung 3. Zertifikatvorlagensicherheit. |
16. | Schließen Sie die Zertifikatvorlagen-Verwaltung, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, zeigen Sie auf Neu, und klicken Sie dann auf Auszustellende Zertifikatvorlage. |
17. | Doppelklicken Sie auf Automatisch registrierte Benutzer, und klicken Sie dann zum Markieren auf Ausgestellte Zertifikate. Im nächsten Abschnitt werden automatisch registrierte Zertifikate überprüft. |
So rufen Sie ein automatisch registriertes Zertifikat ab
1. | Melden Sie sich unter HQ-CON-WRK-01 als mike@contoso.com an. Hinweis: In ungefähr 90 Sekunden erhält Mike ein automatisch registriertes Benutzerzertifikat. Dieses Benutzerzertifikat lässt sich auf dem Bildschirm Ausgestellte Zertifikate in der Zertifikatverwaltung auf HQ-CON-DC-01 überprüfen. Falls Mike nicht innerhalb weniger Minuten ein automatisch registriertes Zertifikat erhält, können Sie gpupdate /force über die Befehlszeile ausführen, um eine Aktualisierung der Gruppenrichtlinie zu beschleunigen. |
Digitales Signieren und Verschlüsseln von E-Mails
So konfigurieren Sie Outlook Express auf HQ-CON-WRK-01
1. | Klicken Sie auf HQ-CON-WRK-01 auf die Schaltfläche Start, zeigen Sie auf Alle Programme, und klicken Sie dann auf Outlook Express. |
2. | Geben Sie im Fenster Assistent für den InternetzugangMike als Anzeigename an, und klicken Sie dann auf Weiter. |
3. | Geben Sie mike@contoso.com als E-Mail-Adresse ein, und klicken Sie dann auf Weiter. |
4. | Geben Sie sowohl für den Posteingangsserver als auch für den Postausgangsserver die Zeichenfolge HQ-CON-DC-01 ein, und klicken Sie dann auf Weiter. |
5. | Ändern Sie im Fenster Internet-E-Mail-Anmeldung den Anmeldenamen zu mike@contoso.com, geben Sie das Kennwort für Mike an, und klicken Sie anschließend auf Weiter. |
6. | Klicken Sie auf Fertig stellen. |
7. | Klicken Sie auf die Schaltfläche Senden/Empfangen, um die erfolgreiche Zusammenarbeit mit dem E-Mail-Server sicherzustellen, und klicken Sie dann auf den Posteingang. Darin sollte sich eine E-Mail des Contoso-Administrators befinden. |
So konfigurieren Sie Outlook Express für digitale IDs
1. | Klicken Sie auf HQ-CON-WRK-01 in Outlook Express auf Extras, und klicken Sie dann auf Optionen. |
2. | Klicken Sie auf die Registerkarte Sicherheit, und klicken Sie dann auf die Registerkarte Erweitert. |
3. | Am unteren Rand des Fensters Erweiterte Sicherheitseinstellungen unter Zertifikate prüfen wählen Sie Nur wenn online für Auf widerrufene digitale IDs prüfen, wie in Abbildung 4 dargestellt.  Abbildung 4. Erweiterte Sicherheitseinstellungen von Outlook Express |
4. | Klicken Sie zweimal auf OK. |
Senden digital signierter E-Mails
Digital signierte E-Mails ermöglichen einem E-Mail-Empfänger, Ihre Identität zu überprüfen. Das Verschlüsseln einer E-Mail-Nachricht hindert Dritte daran, diese während der Übertragung zu lesen.
So senden Sie eine digital signierte E-Mail
1. | Klicken Sie auf Neue E-Mail. |
2. | In der Adresszeile An: geben Sie administrator@contoso.com ein, und als Betreff geben Sie Signierte E-Mail testen ein. |
3. | Klicken Sie auf das Menü Extras, klicken Sie dann auf Digital Signieren und anschließend auf Senden. |
Lesen und Überprüfen digital signierter E-Mails
Sie können digital signierte oder verschlüsselte Nachrichten wie jede andere Nachricht lesen. Wenn Sie zum ersten Mal eine digital signierte oder eine verschlüsselte Nachricht öffnen, zeigt Outlook oder Outlook Express eine Hilfe an.
Wenn Sie eine sichere Nachricht erhalten, die ein Problem aufweist (die Nachricht wurde z. B. verfälscht oder die digitale ID des Absenders ist abgelaufen), wird eine Sicherheitswarnung angezeigt, die das Problem erläutert, bevor Sie den Inhalt der Nachricht anzeigen können. Auf Basis der in der Warnung enthaltenen Informationen entscheiden Sie, ob Sie die Nachricht anzeigen möchten.
Nachdem Sie eine digital signierte Nachricht an einen Kontakt gesendet haben, können Sie eine verschlüsselte Nachricht von dieser Person wie eine herkömmliche Nachricht lesen.
So lesen und überprüfen Sie eine digital signierte E-Mail
1. | Wechseln Sie zu HQ-CON-DC-01, öffnen Sie Outlook Express, und klicken Sie dann auf die Schaltfläche Senden/Empfangen. |
2. | Doppelklicken Sie auf die E-Mail Signierte E-Mail testen von Mike. |
3. | Klicken Sie in der rechten oberen Ecke der E-Mail auf das rote Zertifikatsymbol. Überprüfen Sie, dass der Inhalt nicht geändert wurde und dass die Signatur vertrauenswürdig ist (wie in Abbildung 5 gezeigt), und klicken Sie dann auf OK. Klicken Sie am unteren Rand der geöffneten E-Mail von Mike auf Weiter, und schließen Sie dann die E-Mail.  Abbildung 5. Überprüfen einer digitalen ID Hinweis: Die Zertifikatprüfung gilt nicht für die Sicherheitseinstellungen der digitalen ID des Administrators. |
4. | Klicken Sie auf Extras und dann auf Optionen. |
5. | Klicken Sie auf die Registerkarte Sicherheit, und klicken Sie dann auf die Registerkarte Erweitert. |
6. | Am unteren Rand des Fensters Erweiterte Sicherheitseinstellungen unter Zertifikate prüfen wählen Sie Nur wenn online für Auf widerrufene digitale IDs prüfen, wie in Abbildung 4 dargestellt. |
7. | Klicken Sie zweimal auf OK. |
So senden Sie eine digital signierte und verschlüsselte E-Mail
1. | Klicken Sie auf HQ-CON-DC-01 mit der rechten Maustaste auf die E-Mail von Mike, und klicken Sie dann auf Absenderantworten. |
2. | Klicken Sie auf das Menü Extras, und klicken Sie dann auf Verschlüsseln. |
3. | Klicken Sie auf Senden. |
4. | Wechseln Sie zu HQ-CON-WRK-01, öffnen Sie die E-Mail-Antwort des Contoso-Administrators, und bestätigen Sie die E-Mail-Eigenschaften. Die E-Mail-Eigenschaften sollten mit den in Abbildung 6 dargestellten vergleichbar sein.  Abbildung 6. Überprüfen einer digital signierten und verschlüsselten E-Mail |
Weitere Ressourcen
Weitere Informationen finden Sie in den folgenden Ressourcen:
| • | "Obtaining Digital IDs" unter http://office.microsoft.com/assistance/preview.aspx?AssetID=HA010547821033&CTT=6&Origin=EC010963431033 (nur auf Englisch verfügbar) |
| • | "Microsoft Certificate Services (Public Key Infrastructure)" unter http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx (nur auf Englisch verfügbar) |
| • | Aktuelle Informationen über Windows Server 2003 finden Sie unter |