Az EIK által kiállított digitális aláíró tanúsítványok használata Microsoft Outlookban

Az EIK tanúsítványkiállító infrastruktúrát (Certificate Authoriy / CA) működtet, amely az egyetem dolgozói számára elektronikus tanúsítványokat generál. Amikor az EIK rendszergazdái által felügyelt – és Active Directoryba (AD) intergrált – számítógépek felhasználói AD azonosítójuk használatával a Windowsba belépnek, a munkaállomásuk ellenőrzi, hogy rendelkeznek-e már személyes digitális tanúsítvánnyal, és ha nem, akkor automatikusan, felhasználói beavatkozás nélkül igényel egyet az egyetemi CA-tól a felhasználó számára, majd eltárolja azt a felhasználó személyes tanúsítványtárában.

Ezek az X.509 szabványú tanúsítványok többek között arra alkalmasak, hogy a felhasználók az S/MIME szabványnak megfelelő módon elektronikus aláírással és/vagy titkosítással lássák el email-jeiket. Ahhoz, hogy a levél címzettje érvényesnek ismerje el a digitális aláírást, arra van szükség, hogy a címzett által használt email alkalmazásba gyárilag be legyen építve a feladó tanúsítványát kiállító CA rendszer ún. gyökér- vagy főtanúsítványa. Az EIK által üzemeltetett rendszer telepíti ugyan egyetemi CA főtanúsítványát az egyetemi Active Directory rendszerbe integrált számítógépekre, a világ összes többi számítógépére azonban nem tudunk hatással lenni, így azok nem ismerik el hitelesnek el az egyetemi tanúsítványokkal készült elektronikus aláírásokat, vagyis a jelen segédletben ismertetett kriptográfiai megoldás csak a Nyugat-magyarországi Egyetemen belül alkalmas az emailek érvényes digitális aláírására.

Az üzenetek elektronikus aláírásához a felhasználónak a saját tanúsítványára és a hozzá tartozó ún. titkos kriptográfiai kulcsra van szüksége. A tanúsítvány tartalma teljesen nyilvános, bárkinek kiadható, és semmilyen biztonsági kockázattal nem jár az idegen kezekbe kerülése. A tanúsítványhoz tartozó titkos kulcs azonban – amelyet szintén automatikusan generál az EIK által üzemeltetett rendszer, és a felhasználó számítógépének biztonságos kulcstároló fiókjába menti – rendkívül bizalmas információnak minősül. A titkos kulcsot senkinek nem szabad kiadni, mert aki megszerzi, képes hamisítani a felhasználó elektronikus aláírását. A digitálisan aláírt leveleket bárki el tudja olvasni, azonban a kriptográfiai rendszer biztosítja, hogy a levelet valóban az a személy írta, akinek az elektronikus aláírása szerepel rajta, illetve senki nem módosította a tartalmát az elküldés után.

Elektronikusan titkosított emailek írásához a digitális aláírással ellentétben nem a feladó saját tanúsítványára van szüksége, hanem a címzettére!

Az NYME elsődleges levelezőplatformja a Windows operációs rendszer alatt futó Outlook alkalmazás. Ez a segédlet azt mutatja be, hogyan aktiválhatjuk az Outlook programban az egyetemi CA által kiállított tanúsítványokon alapuló digitális email aláírási és titkosítási lehetőségeket. Az Outlook és egyéb telepíthető alkalmazások mellett az Office 365 webes felületén (OWA) is lehetséges digitálisan aláírt, illetve titkosított levelek írása. Erről bővebben olvashat az EIK S/MIME@OWA témájú tájékoztatójában.




A digitális aláírások engedélyezésének első lépéseként váltsunk a "Fájl" fülre, majd válasszuk a "Beállítások" menüpontot!




Az Outlook beállítóablakában válasszuk az "Adatvédelmi központ" menüpontot, majd kattintsunk a "Microsoft Outlook adatvédelmi központ" szekcióban található "Az Adatvédelmi központ beállításai..." gombra!




Az adatvédelmi központ ablakában válasszuk az "E-mailek biztonsági beállításai" menüpontot, majd kattintsunk a "Titkosított e-mail" szekcióban található "Beállítások..." gombra!


Figyelem! Hibalehetőség!



Ha ennél a lépésnél a fenti ábrán látható "E-mailek biztonsági beállításai" varázsló indul el, az azt jelenti hogy ön nem rendelkezik a levelek digitális aláírásához vagy titkosításához használható személyes tanúsítvánnyal. Ennek több oka lehet: A legvalószínűbb, hogy az ön számítógépe nem áll az EIK rendszergazdáinak felügyelete alatt, ezért nem része az ún. Active Directory (AD) infrastruktúrának, így belépéskor nem települnek fel rá a szükséges tanúsítványok. Előfordulhat az is, hogy a számítógép ugyan Active Direcory-tag, de ön nem központi AD felhasználónévvel jelentkezik be rá. A tanúsítvány hiányában sajnos nem lehetséges a digitális aláírások beállításának folytatása ezen a segédlet szerint. Lépjen ki az Outlook beállítóablakaiból, és igényeljen személyes tanúsítványt az NYME rendszeréből, vagy kérjen segítséget az EIK rendszergazdáitól!




A segédletben leírt lépések akkor hajthatóak végre, ha az ábrán látható "Biztonsági beállítások módosítása" című ablak jelenik meg. Itt változatlanul hagyhatjuk minden opció alapértelmezett értékét, de mielőtt az OK gombbal aktiválnánk a digitális aláírásokhoz és levéltitkosításhoz szükséges kriptográfiai beállításokat, kattintsunk előbb az "Aláíró tanúsítvány" majd a "Titkosítás tanúsítvány" névmezője melletti "Kiválasztás..." gombra! Mindkétszer egy kis "Tanúsítvány megerősítése" című ablak fog megjelenni, amely lehetővé teszi a különböző tanúsítványok közötti választást. Ebben minden valószínűség szerint csak egy tanúsítványt találunk, így nincs különösebb teendőnk, de ha több tanúsítványt tartalmazó lista jelenne meg, olyat válasszunk, amelynek az érvényességi ideje nem járt le, és kiállítója az "ad-VW-CA-CA" nevű hatóság!

Az "ad-VW-CA-CA" nevű tanúsítványkiállító rendszert az EIK üzemelteti. Az általa kiállított elektronikus tanúsítványokhoz ingyen jutnak hozzá az egyetemi alkalmazottak, de kizárólag a Nyugat-magyarországi Egyetemen belüli levelezéshez használható. Amennyiben ön hivatalos tanúsítványkiállítótól vásárolt nemzetközi levelezéshez is használható minősített tanúsítvánnyal is rendelkezik, használja inkább azt!




A megfelelő tanúsítvány kiválasztása és a "Biztonsági beállítások módosítása" című ablak OK gombbal történő bezárása után visszakerülünk az adatvédelmi központba. Itt a Titkosított e-mail" szekcióban találunk egy "Digitális aláírás hozzáadása a kimenő üzenetekhez" nevű opciót. Ha ezt bekapcsoljuk, az Outlook digitálisan aláír minden általunk küldött kimenő e-mailt. Ennek előnye, hogy nem kell attól tartanunk, hogy levélírás közben elfeledkezünk a digitális aláírás némiképp kényelmetlen műveletéről. Hátránya azonban, hogy elektronikus aláírással látunk el minden levelet, köztük azokat is, amelyeket esetleg nem szeretnénk. Ez az egyetemen belüli levelezésben semmiféle problémát nem okoz, de az "ad-VW-CA-CA" rendszer tanúsítványainak felhasználói által az egyetemen kívülre küldött levelek címzettjei érvénytelen aláírást fognak látni a levélben, ami félreértésekre adhat okot.


A levelek digitális aláírása



Ha az előző lépésben nem engedélyeztük az összes kimenő levél feltétel nélküli digitális aláírását, akkor a következő módon láthatjuk el az egyes leveleket digitális aláírással:

A levél szerkesztése közben bármikor váltsunk át a "Beállítások" fülre, ahol az ábrán látható "Aláírás" gombbal utasíthatjuk az Outlookot arra, hogy az elküldés előtt elektronikus aláírással lássa el az üzenetet.

Ha az előző pontban engedélyeztük az összes kimenő levelünk digitális aláírását, akkor ugyanitt van lehetőségünk az aláírás szelektív kikapcsolására.