E-Mail Signatur

---

2. E-Mail Signatur und Verschlüsselung

Prinzipiell werden E-Mails im Klartext versendet. So kann auf dem Weg zum Empfänger diese E-Mail gelesen oder verändert werden. Doch man muss deswegen nicht jede Mail gleich verschlüsseln. In der Regel genügt einfach eine digitale Signatur. So stellt man die Integrität des Absenders sicher und schließt eine Manipulation aus.

1.1 Verschlüsselung

Grundsätzlich gibt es zwei gängige Methoden, die zur E-Mail-Verschlüsselung verwendet werden: S/MIME und PGP.  S/MIME (Secure/Multipurpose Internet Mail Extensions) gibt es seit 1995, PGP (Pretty Good Privacy) gab es bereits etwas früher, so ab 1991. Sozusagen alte Hüte. Weder S / MIME noch PGP wurden bisher geknackt und werden von Experten als sicher eingestuft. Sowohl S / MIME als auch PGP basieren auf demselben Prinzip, der sogenannten Hybridverschlüsselung. Es gibt einen privaten und einen öffentlichen Schlüssel (Zertifikate bei S / MIME). Um jemandem eine verschlüsselte E-Mail zu senden, benötigen Sie den öffentlichen Schlüssel des Empfängers und Ihren eigenen privaten Schlüssel. Obwohl das Funktionsprinzip beider Methoden vergleichbar ist, sind S / MIME und PGP nicht miteinander kompatibel. Man ist also letztendlich gezwungen, entweder alle Kommunikationspartner von dem verwendeten Standard zu überzeugen oder zwei Spuren anzusteuern und S / MIME und PGP-Variable zu verwenden.

1.2. Signierungsfunktion

Allerdings: S/MIME bietet zusätzlich zur Verschlüsselung noch eine Signierfunktion. Hierbei bleibt eine Nachricht für alle sichtbar, es wird allerdings eine kryptografische Signatur hinzugefügt, die vom Empfänger verifiziert werden kann. Ist die Signatur in Ordnung, bedeutet dies, dass der Inhalt der E-Mail nicht verändert wurde. Aber für eine E-Mail-Verschlüsselung mit S/MIME spricht noch ein weiterer Vorteil: Das Verfahren ist bereits fester Bestandteil vieler Mail-Programme, sei es auf dem Desktop oder auf mobilen Endgeräten.

1.3. Zertifikatsklassen

Besonderen Schutz gewähren hier sogenannte SMIME Zertifikate.Diese E-Mail Signaturzertifikate garantieren die Urheberschaft und die Unveränderlichkeit des Inhalts. Dadurch bieten Sie einen zusätzlichen Schutz durch die Verschlüsselung des Inhalts. Im Internet gibt es zahlreiche Anbieter solcher Zertifikate. Es werden folgende Zertifikatsklassen unterschieden. Klasse 1: Es wird nur überprüft, ob die hinterlegte E-Mail-Adresse existiert. Klasse 2: Enthalten neben der E-Mail-Adresse auch den Namen sowie das Unternehmen bzw. die Organisation. Hierbei wird schriftlich bestätigt, dass die Angaben auch korrekt sind Klasse 3: Es wird zusätzlich der Handelsregisterauszug beziehungsweise der Personalausweis überprüft. Klasse 4: Erfordert darüber hinaus ein persönliches Erscheinen bei der Zertifizierungsstelle zwecks Verifizierung bestimmter Originaldokumente

2. Umsetzung Signatur in SAP

2.1. Anlegen einer SMIME Identität

Eine SMIME Identität repräsentiert eine Email Adresse im SAP System. Diese Email Adresse sollte einem User zugeordnet sein, der als Absender einer Email fungiert. Transaktion STRUST STRUST -> Umfeld –> SMIME Identitäten Neuer Eintrag für eine SMIME Identität (repräsentiert meist einen User)

• S/MIME Beispiel ZSTRUC
• Anwendung Beispiel ZMS

Logischer Name wird leer gelassen (Wird gefüllt über das Einlesen des Zertifikats) Dadurch entsteht im Trust Manager ein neuer Eintrag SMIME ZMS.

2.2. PSE zu einer SMIME Identität anlegen

Markieren von SMIME ZMS und rechte Maustaste drücken. PSE anlegen:

• Name: Max Mustermann (Wichtig)
• Org.: Leer
• Firma: Abteilung
• CA: O=munich enterprise sotfware GmbH, L=Groebenzell, S=Bayern, C=DE, EMAIL=max.mustermann@munich-enterprise.com (Wichtig, dass der String genauso eingetragen wird)
• O = Unternehmen
• L = Ort
• S = Region
• C = Land
• Email = Mailadresse (welche zertifiziert wird)
• Algorithmus: RSA mit SHA 256 (wichtig)
• Schlüssellänge: 2048 (wichtig)

2.3. Erstellung einer Zertifikatsanfrage

Jetzt ist im SAP System eine SMIME Identität vollständig angelegt. Das Schlüsselpaar mit „Privater Schlüssel“ und „Öffentlicher Schlüssel“ (Zertifikatsanforderung) sind im SAP System hinterlegt. Wichtig: Diese SMIMIE Identität sollte nach der Beantragung eines Zertfikats nicht mehr gelöscht und neu erstellt werden. Es könnte sonst sein, das das Zertifikat nicht mehr zu dem erstellten Schlüsselpaar passt. Transaktion STRUST

• Doppelklick aus die PSE der SMIME Identität
• Danach Zertifikatsanforderung erzeugen
• Ergebnis: Zertifikatsrequest (CSR – Datei)

Dieser Datei kann man dann über den Button in eine lokale Textdatei sichern.

2.4. Zertifikat bestellen

Mit dieser Zertifikatsanforderungen kann man bei den Zertifikatsanbietern (CA) ein Zertifikat bestellen. Nach erfolgter Validierung erhält man das Zertifikat mit dem entsprechenden Root Zertifikat und ein oder mehreren Zwischenzertifikaten. In unserem Beispiel haben wir das Zertifikat bei der PSW Group bestellt. Der ausstellende CA ist in unserem Fall Certum: Bestellung mit CSR Datei

2.5. Zertifikat in das SAP System importieren

2.6. Root Zertifikat und Zwischenzertifikate

Als erstes müssen das Root Zertifikat und die entsprechenden Zwischenzertifikate im SAP System hinterlegt werden. Wichtig: Werden mehrere Email Adressen bei der gleichen Autorisierungsstelle (CA) zertifiziert. Müssen das Root- und die Zwischenzertifikate nur einmal hinterlegt werden.

2.6.1. Zertifikate auf der Datenbank anlegen (Root und Zwischenzert.)

Transaktion STRUST Menü->Zertifikat->Datenbank

• Anlegen
• Für alle Zerifikate

2.6.2. Zertifikate einlesen

• Markieren System PSE.
• Danach Zertifikat importieren über Button.
• Nur Root- und Zwischenzertifikate jeweils importieren.
• Diese Zertifikate sind das in der Zertifikatsübersicht enthalten.

2.6.3. Zertifikate in der Datenback hinterlegen

Diesen Schritt für jedes Zertifikat durchführen. Doppelklick auf das gewünschte Zertifikat. Menü-> Zertifikat->Exportieren

• Dann Datenback wählen
• Mit dem entsprechend vorher angelegten Eintrag ausfüllen

2.7. SMIME Zertifikat einlesen

Als letztes wir das Zertifikat für die entsprechende Emailadresse eingelesen. Transaktion STRUST Doppelklick aus die PSE der SMIME Identität:

• Zertifikatsantwort einlesen
• Sichern aus lokaler Datei
• Zertifikat einlesen
• Speichern

Jetzt können signierte Mails versendet werden.

2.8. Exportieren des privaten Schlüssels einer SMIME Identität

Der Private Schlüssel ist notwendig, wenn man die Zertifikate in weiten Mailsystemen wie zum Beispiel Outlook verwenden möchte. Sie können auf einem ABAP Stack durch Eingabe der Transaktion STRUST > Environment > Display SSF Version überprüfen, ob die SAPCRYPTOLIB installiert ist und in welcher Version. Alternativ können Sie auf der Kommandozeile den Befehl sapgenpse ausführen. Exportieren des PSE Files in ein PKCS#12 File: sapgenpse export_p12 –p Beispiel: sapgenpse export_p12 -p sapssl.pse test.p12 Mit dem freien OpenSSL kann man nun den private und public key extrahieren: openssl pkcs12 -in -out -nodes Beispiel: openssl pkcs -in test.p12 -out output.txt -nodes

2.9. Verwendung in weiteren SAP Mandaten oder Systemen

2.9.1. Root und Zwischenzertifikate

2.9.1.2. Weitere Mandaten

Die Root- und Zwischenzertifikate gelten systemweit. Diese müssen in weiteren Mandanten nicht angelegt und importiert werden.

2.9.1.3. Weitere Systeme

Die Root- und Zwischenzertifikate müssen in weitere SAP System eingespielt werden. Hier geht man vor wie unter Punkt 2.6 beschrieben.

2.9.2. SMIME Identität anlegen

In weiteren Mandant oder in weiteren Systemen muss dann, wie unter Punkt 2.1 beschrieben eine SMIME Identität angelegt werden. Achtung: nur Punkt 2.1 ausführen.

2.9.3. SMIMIE PSE Exporten

Die angelegte SMIME Identität mit eingelesenem Zertifikat wir nun exportiert. Transaktion STRUST Doppelklick aus die PSE der SMIME Identität. Dann in lokaler Datei speichern.

2.9.4. SMIMIE PSE im neuen Mandanten / System importieren

Transaktion STRUST Menü->PSE->Importieren PSE Datei aus lokaler Datei auswählen. Menü->PSE->Sichern als Dann SMIME markieren und die angelegte SMIMIE Identität auswählen. Speichern!

---

---

SAP Mail

---

SAP Monitoring

---