Product Documentation

S/MIME für Secure Mail

Mar 06, 2018

Secure Mail unterstützt Secure/Multipurpose Internet Mail Extensions (S/MIME), sodass Benutzer Nachrichten zur Erhöhung der Sicherheit signieren und verschlüsseln können. Durch die Signatur kann der Empfänger sicher sein, dass die Nachricht von dem identifizierten Absender gesendet wurde und nicht von einem Betrüger. Bei Verschlüsselung können nur die Empfänger mit einem kompatiblen Zertifikat die Nachricht öffnen.

Weitere Informationen zu S/MIME finden Sie in dem Microsoft TechNet-Artikel Informationen zu S/MIME.

In der folgenden Tabelle bedeutet ein X, dass ein S/MIME-Feature von Secure Mail auf einem Gerätebetriebssystem unterstützt wird.

S/MIME-Feature iOS Android Windows Phone
Integration mit digitalen Identitätsanbietern

Sie können Secure Mail in einen unterstützten digitalen Identitätsanbieter (Drittanbietertool) integrieren. Der Identitätsanbieterhost stellt einer Identitätsanbieter-App auf Benutzergeräten Zertifikate zur Verfügung. Diese App sendet Zertifikate an den freigegebenen XenMobile-Tresor, einen sicheren Speicher für vertrauliche App-Daten. Secure Mail ruft Zertifikate aus dem freigegebenen Tresor ab.

Weitere Informationen finden Sie unter Integration mit einem digitalen Identitätsanbieter.

X
Zertifikatbereitstellung per E-Mail

Zum Bereitstellen von Zertifikaten per E-Mail müssen Sie Zertifikatvorlagen erstellen und mit diesen Vorlagen Benutzerzertifikate anfordern. Nach der Installation und Überprüfung der Zertifikate exportieren Sie die Benutzerzertifikate und senden sie per E-Mail an die Benutzer. Die Benutzer öffnen dann die E-Mail in Secure Mail und importieren die Zertifikate.

Weitere Informationen finden Sie unter Verteilen von Zertifikaten per E-Mail.

X X X
Automatischer Import von Einzweckzertifikaten

Secure Mail erkennt, ob ein Zertifikat nur zum Signieren oder nur zum Verschlüsseln ist. Dann wird das Zertifikat automatisch importiert und der Benutzer wird benachrichtigt. Wenn ein Zertifikat für beide Zwecke ist, werden die Benutzer aufgefordert, es zu importieren.

X

Integration mit einem digitalen Identitätsanbieter

Das folgende Diagramm zeigt den Weg des Zertifikats vom digitalen Identitätsanbieterhost zu Secure Mail. Dieser ergibt sich, wenn Sie Secure Mail in einen unterstützten digitalen Identitätsanbieter (Drittanbietertool) integrieren.

localized image

Der freigegebene MDX-Tresor ist ein sicherer Speicher für vertrauliche App-Daten wie etwa Zertifikate. Nur XenMobile-aktivierte Apps können auf den freigegebenen Tresor zugreifen.

Voraussetzungen

Secure Mail unterstützt die Integration in Entrust IdentityGuard.

Konfigurieren der Integration

  1. Bereiten Sie die Identitätsanbieter-App vor und stellen Sie diese den Benutzern bereit:
    1. Wenden Sie sich an Entrust, um die IPA-Datei zum Umschließen zu erhalten.
    2. Umschließen Sie die App mit dem MDX Toolkit.

      Verwenden Sie eine eindeutige App-ID für die App, wenn Sie sie für Benutzer bereitstellen, die bereits über eine Version dieser App außerhalb der XenMobile-Umgebung verfügen. Verwenden Sie das gleiche Provisioningprofil für diese App und für Secure Mail.

    3. Fügen Sie die App in XenMobile hinzu und veröffentlichen Sie sie im XenMobile Store.
    4. Teilen Sie den Benutzern mit, dass sie die Identitätsanbieter-App über Secure Hub installieren müssen. Geben Sie nach Bedarf Anleitungen zu Schritten, die nach der Installation ausgeführt werden müssen.

      Abhängig davon, wie Sie die S/MIME-Richtlinien für Secure Mail im nächsten Schritt konfigurieren, fordert Secure Mail Benutzer u. U. zur Installation von Zertifikaten oder zum Aktivieren von S/MIME in den Secure Mail-Einstellungen auf. Schrittweise Anleitungen für diese beiden Verfahren finden Sie in Aktivieren von S/MIME für Secure Mail für iOS.

  2. Wenn Sie Secure Mail zu XenMobile hinzufügen, konfigurieren Sie die folgenden Richtlinien:
    • Legen Sie die Richtlinie für die S/MIME-Zertifikatquelle auf Freigegebener Tresor fest. Secure Mail verwendet dann die im freigegebenen Tresor gespeicherten Zertifikate des digitalen Identitätsanbieters.
    • Damit S/MIME während des ersten Starts von Secure Mail aktiviert wird, konfigurieren Sie die Richtlinie "S/MIME bei erstem Secure Mail-Start aktivieren". Die Richtlinie legt fest, ob Secure Mail S/MIME aktiviert, wenn Zertifikate im freigegebenen Tresor sind. Wenn keine Zertifikate verfügbar sind, fordert Secure Mail die Benutzer zum Importieren von Zertifikaten auf. Wenn die Richtlinie nicht aktiviert ist, können die Benutzer S/MIME in den Secure Mail-Einstellungen aktivieren.

      Standardmäßig aktiviert Secure Mail S/MIME nicht, daher müssen die Benutzer S/MIME in den Secure Mail-Einstellungen aktivieren.

Verteilen von Zertifikaten per E-Mail

Statt der Integration mit einem digitalen Identitätsanbieter können Sie Benutzern Zertifikate per E-Mail bereitstellen. Für diese Option sind die folgenden allgemeinen Schritte erforderlich.

  1. Aktivieren Sie mit dem Server-Manager die Webregistrierung für die Microsoft-Zertifikatdienste und überprüfen Sie die Authentifizierungseinstellungen in IIS.
  2. Erstellen Sie Zertifikatvorlagen zum Signieren und Verschlüsseln von E-Mail-Nachrichten. Fordern Sie mit diesen Vorlagen Benutzerzertifikate an.
  3. Installieren und validieren Sie die Zertifikate. Exportieren Sie dann die Benutzerzertifikate und senden Sie sie an die Benutzer.
  4. Die Benutzer öffnen die E-Mail in Secure Mail und importieren die Zertifikate. Die Zertifikate sind daher nur für Secure Mail verfügbar. Sie werden nicht unter dem iOS-Profil für S/MIME angezeigt.

    Smartcards werden nicht unterstützt.

Voraussetzungen

Die Anweisungen in diesem Abschnitt basieren auf den folgenden Komponenten:

  • XenMobile Server 10 und höher
  • Eine unterstützte Version von NetScaler Gateway
  • Secure Mail für iOS (Mindestversion 10.6.0); Secure Mail für Android-Geräte (Mindestversion 10.6.20)
  • Microsoft Windows Server 2008 R2 oder höher mit Microsoft-Zertifikatdiensten als Stammzertifizierungsstelle (ZS)
  • Microsoft Exchange:
    • Exchange Server 2016 Kumulatives Update 4
    • Exchange Server 2013 Kumulatives Update 15
    • Exchange Server 2010 SP3 Update Rollup 16

Sorgen Sie vor dem Konfigurieren von S/MIME dafür, dass die folgenden Voraussetzungen erfüllt sind:

  • Stellen Sie das Stamm- und Zwischenzertifikat auf den mobilen Geräten manuell oder über eine Anmeldeinformationsrichtlinie für Geräte in XenMobile bereit. Weitere Informationen finden Sie unter Credentials device policies.
  • Wenn Sie private Serverzertifikate zum Sichern des ActiveSync-Datenverkehrs an Exchange Server verwenden, müssen alle Stamm- und Zwischenzertifikate auf den mobilen Geräten installiert sein.
  • Umschließen Sie Secure Mail mit dem aktuellen MDX Toolkit, das auf der Citrix Downloadsite verfügbar ist.

Aktivieren der Webregistrierung für Microsoft-Zertifikatdienste

  1. Wechseln Sie zu Verwaltungstools und wählen Sie dann Server-Manager.
  2. Prüfen Sie unter Active Directory-Zertifikatdienste, ob die Zertifizierungsstellen-Webregistrierung installiert ist.
  3. Klicken Sie auf Rollendienste hinzufügen, um die Zertifizierungsstellen-Webregistrierung, falls erforderlich, hinzuzufügen.
  4. Aktivieren Sie das Kontrollkästchen für Zertifizierungsstellen-Webregistrierung und klicken Sie auf Weiter.
  5. Klicken Sie auf Schließen oder Fertig stellen, wenn die Installation abgeschlossen ist.

Überprüfen der Authentifizierungseinstellungen in IIS

  • Stellen Sie sicher, dass die Site für die Webregistrierung, die zum Anfordern von Benutzerzertifikaten verwendet wird (z. B. https://ad.domain.com/certsrv/), mit einem privaten oder öffentlichen HTTPS-Serverzertifikat gesichert ist.
  • Sie müssen auf die Webregistrierungssite über HTTPS zugreifen.
  1. Wechseln Sie zu Verwaltungstools und wählen Sie dann Server-Manager aus.
  2. Überprüfen Sie unter Webserver (IIS) die Rollendienste. Stellen Sie sicher, dass Clientzertifikatzuordnung-Authentifizierung und IIS Clientzertifikatzuordnung-Authentifizierung installiert sind. Falls nicht, installieren Sie diese Rollendienste.
  3. Wechseln Sie zu Verwaltungstools und wählen Sie Internetinformationsdienste (IIS)-Manager.
  4. Wählen Sie im linken Bereich des Fensters des IIS-Managers den Server aus, auf dem die IIS-Instanz für die Webregistrierung ausgeführt wird.
  5. Klicken Sie auf Authentifizierung.
  6. Stellen Sie sicher, dass für Active Directory-Clientzertifikatauthentifizierung der Status Aktiviert angezeigt wird.
  7. Klicken Sie im rechten Bereich auf Sites > Standardsite für Microsoft Internetinformationsdienste > Bindungen.
  8. Fügen Sie eine HTTPS-Bindung hinzu, wenn keine vorhanden ist.
  9. Wechseln Sie zu Standardwebsite-Startseite.
  10. Klicken Sie auf SSL-Einstellungen und dann auf Clientzertifikate akzeptieren.

Erstellen von Zertifikatvorlagen

Für die Signatur und Verschlüsselung von E-Mail empfiehlt Citrix, dass Sie Zertifikate unter Microsoft Active Directory-Zertifikatdienste erstellen. Wenn Sie dasselbe Zertifikat für beide Zwecke verwenden und das Verschlüsselungszertifikat archivieren, sind die Wiederherstellung des Signaturzertifikats und ein Identitätswechsel möglich.

Mit der folgenden Vorgehensweise werden die Zertifikatvorlagen auf dem Zertifizierungsstellenserver (ZS-Server) dupliziert:

  • Nur Exchange-Signatur (zum Signieren)
  • Exchange-Benutzer (zur Verschlüsselung)
  1. Öffnen Sie das Zertifizierungsstellen-Snap-In.
  2. Erweitern Sie die Zertifizierungsstelle und wechseln Sie zu Zertifikatvorlagen.
  3. Klicken Sie mit der rechten Maustaste auf Verwalten.
  4. Suchen Sie die Vorlage "Nur Exchange-Signatur", klicken Sie mit der rechten Maustaste auf die Vorlage und klicken Sie dann auf Doppelte Vorlage.

  5. Weisen Sie einen Namen zu.
  6. Wählen Sie Zertifikat in Active Directory veröffentlichen aus.
    Hinweis: Wenn Sie das Kontrollkästchen Zertifikat in Active Directory veröffentlichen nicht aktivieren, müssen die Benutzer die Benutzerzertifikate für Signatur und Verschlüsselung manuell veröffentlichen. Dies ist möglich über Outlook-E-Mail-Client > Vertrauensstellungscenter > E-Mail-Sicherheit > In GAL veröffentlichen. Weitere Informationen finden Sie im Microsoft-Artikel Hinzufügen oder Importieren eines Zertifikats zu den oder in den Kontakten.

  7. Klicken Sie auf die Registerkarte Anforderungsverarbeitung und legen Sie die folgenden Parameter fest:
    • Zweck: Signatur
    • Minimale Schlüsselgröße: 2048
    • Kontrollkästchen Exportieren von privatem Schlüssel zulassen aktiviert
    • Kontrollkästchen Antragsteller ohne Benutzereingabe registrieren aktiviert


  8. Klicken Sie auf die Registerkarte Sicherheit und stellen Sie sicher, dass unter Gruppen- oder Benutzernamen die Gruppe Authentifizierte Benutzer (oder nach Wunsch eine andere Domänensicherheitsgruppe) hinzugefügt ist. Stellen Sie außerdem sicher, dass unter Berechtigungen für authentifizierte Benutzer die Kontrollkästchen Lesen und Registrieren für Zulassen aktiviert sind.

  9. Für alle anderen Registerkarten und Parameter behalten Sie die Standardeinstellungen bei.
  10. Klicken Sie für Zertifikatvorlagen auf Exchange-Benutzer und wiederholen Sie die Schritte 4 bis 9.

    Verwenden Sie für die neue Exchange-Benutzervorlage die gleichen Standardeinstellungen wie für die Originalvorlage.

  11. Klicken Sie auf die Registerkarte Anforderungsverarbeitung und legen Sie die folgenden Parameter fest:
    • Zweck: Verschlüsselung
    • Minimale Schlüsselgröße: 2048
    • Kontrollkästchen Exportieren von privatem Schlüssel zulassen aktiviert
    • Kontrollkästchen Antragsteller ohne Benutzereingabe registrieren aktiviert



  12. Wenn beide Vorlagen erstellt sind, geben Sie beide aus. Klicken Sie auf Neu und klicken Sie dann auf Auszustellende Zertifikatvorlage.

Anfordern von Benutzerzertifikaten

Bei dieser Vorgehensweise wird "User1" zum Navigieren zur Webregistrierungsseite, z. B. https://ad.domain.com/certsrv/, verwendet. Bei der Vorgehensweise werden zwei neue Benutzerzertifikate für sichere E-Mail angefordert: eines für die Signierung und das zweite für die Verschlüsselung. Sie können die Vorgehensweise für andere Domänenbenutzer, die die Verwendung von S/MIME über Secure Mail benötigen, wiederholen.

Zum Erstellen der Benutzerzertifikate für die Signierung und Verschlüsselung wird die manuelle Registrierung über die Webregistrierungssite (z. B. https://ad.domain.com/certsrv/) auf Microsoft-Zertifikatdienste verwendet. Eine Alternative wäre das Konfigurieren einer automatischen Registrierung über eine Gruppenrichtlinie für die Gruppe von Benutzern, die das Feature verwenden soll. Weitere Informationen finden Sie im Microsoft TechNet-Artikel Configure User Certificate Autoenrollment.

  1. Öffnen Sie auf einem Windows-Computer Internet Explorer und navigieren Sie zu der Webregistrierungssite, um ein Benutzerzertifikat anzufordern.
    Hinweis: Stellen Sie sicher, dass Sie sich unter dem richtigen Domänenbenutzerkonto anmelden, um das Zertifikat anzufordern.

  2. Wenn Sie sich angemeldet haben, klicken Sie auf Zertifikat anfordern.

  3. Klicken Sie auf Erweiterte Zertifikatanforderung.
  4. Klicken Sie auf Eine Zertifikatanforderung an diese Zertifizierungsstelle erstellen und einreichen.
  5. Erstellen Sie das Benutzerzertifikat zum Signieren. Wählen Sie den entsprechenden Vorlagennamen aus und dann neben Anforderungsformat die Option PKCS #10 aus.

    Die Anforderung wurde gesendet.

  6. Klicken Sie auf Dieses Zertifikat installieren.
  7. Vergewissern Sie sich, dass das Zertifikat erfolgreich installiert wurde.

  8. Wiederholen Sie das Verfahren zur Verschlüsselung von E-Mail. Bleiben Sie als der gleiche Benutzer bei der Webregistrierungssite angemeldet und klicken Sie auf den Link Startseite, um ein neues Zertifikat anzufordern.
  9. Wählen Sie die neue Vorlage für die Verschlüsselung aus und legen Sie dann die gleichen Benutzereinstellungen wie in Schritt 5 fest.

  10. Stellen Sie sicher, dass das Zertifikat erfolgreich installiert wurde, und wiederholen Sie das Verfahren zum Erstellen eines Benutzerzertifikatpaars für einen weiteren Domänenbenutzer. Bei diesem Verfahren werden die gleichen Schritte ausgeführt und ein Zertifikatpaar für "User2" erstellt.
    Hinweis: Bei dem Verfahren wird der gleiche Windows-Computer zum Anfordern des zweiten Zertifikatpaars für "User2" verwendet.

Überprüfen veröffentlichter Zertifikate

  1. Um sich zu vergewissern, dass die Zertifikate im Domänenbenutzerprofil richtig installiert sind, wechseln Sie zu Active Directory-Benutzer und -Computer > Anzeigen > Erweiterte Funktionen.

  2. Rufen Sie die Eigenschaften des Benutzers (in diesem Beispiel "User1") auf und klicken Sie auf die Registerkarte Veröffentlichte Zertifikate. Vergewissern Sie sich, dass beide Zertifikate verfügbar sind. Sie können auch sicherstellen, dass jedes Zertifikat einen bestimmten Zweck hat.

    Diese Abbildung zeigt ein Zertifikat für die Verschlüsselung von E-Mail.

    Diese Abbildung zeigt ein Zertifikat zum Signieren von E-Mail.

    Stellen Sie Sicher, dass dem Benutzer das richtige verschlüsselte Zertifikat zugewiesen ist. Sie können dies unter Active Directory-Benutzer und -Computer > Benutzereigenschaften prüfen.

    Secure Mail prüft das Benutzerobjektattribut userCertificate über LDAP-Abfragen. Sie können diesen Wert auf der Registerkarte Attribut-Editor ablesen. Wenn dieses Feld leer ist oder das falsche Benutzerzertifikat für die Verschlüsselung enthält, kann Secure Mail Nachrichten weder verschlüsseln noch entschlüsseln.

Exportieren von Benutzerzertifikaten

Mit diesem Verfahren werden die Zertifikatpaare für "User1" und "User2" im PFX-Format (PKCS #12) mit dem privaten Schlüssel exportiert. Nach dem Export werden die Zertifikate per E-Mail und unter Verwendung von Outlook Web Access (OWA) an den Benutzer gesendet.

  1. Öffnen Sie die MMC-Konsole und wechseln Sie zu dem Snap-In für Zertifikate – aktueller Benutzer. Es werden die Zertifikatpaare für "User1" und "User2" angezeigt.

  2. Klicken Sie mit der rechten Maustaste auf das Zertifikat und dann auf Alle Aufgaben > Exportieren.
  3. Exportieren Sie den privaten Schlüssel durch Auswahl von Ja, privaten Schlüssel exportieren.
  4. Aktivieren Sie die Kontrollkästchen Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen und Alle erweiterten Eigenschaften exportieren.

  5. Wiederholen Sie beim Exportieren des ersten Zertifikats das gleiche Verfahren für die restlichen Zertifikate für die Benutzer.
    Hinweis: Geben Sie durch die Bezeichnung deutlich an, welches Zertifikat zum Signieren und welches für die Verschlüsselung verwendet wird. Im Beispiel erhalten die Zertifikate die Bezeichnung "userX-sign.pfx" und "userX-enc.pfx".

Senden von Zertifikaten per E-Mail

Wenn alle Zertifikate im PFX-Format exportiert wurden, können Sie sie über Outlook Web Access (OWA) per E-Mail versenden. Der Anmeldename in diesem Beispiel lautet "User1" und die E-Mail enthält beide Zertifikate.

Wiederholen Sie diesen Vorgang für "User2" bzw. weitere Benutzer in der Domäne.

Aktivieren von S/MIME für Secure Mail (iOS und Android)

Nach dem Empfang der E-Mail muss diese mit Secure Mail geöffnet und dann S/MIME mit den entsprechenden Zertifikaten zum Signieren und Verschlüsseln aktiviert werden.

  1. Öffnen Sie in Secure Mail die E-Mail.
  2. Laden Sie das erste Zertifikat (zum Signieren) herunter und tippen Sie auf Zertifikat für das Signieren importieren.

  3. Geben Sie das Kennwort ein, das dem privaten Schlüssel beim Export des Zertifikats zugewiesen wurde.

  4. Wechseln Sie zu Einstellungen, um die Signierung in Secure Mail zu aktivieren.

  5. Tippen Sie auf S/MIME und neben Signieren auf Aus.

  6. Aktivieren Sie Signieren und stellen Sie sicher, dass das richtige Signaturzertifikat aktiviert ist.

    Diese Abbildung zeigt eine Konfiguration, bei der das Signieren mit Benutzerzertifikat (zum Signieren) aktiviert ist.

  7. Wechseln Sie zurück zu der E-Mail, um das Zertifikat für die Verschlüsselung herunterzuladen und zu importieren.

  8. Geben Sie das Kennwort ein, das dem privaten Schlüssel zugewiesen wurde.

  9. Wechseln Sie zu Einstellungen, um die Verschlüsselung in Secure Mail zu aktivieren. Tippen Sie neben Standardmäßig verschlüsseln auf Aus. Stellen Sie sicher, dass das richtige Benutzerzertifikat für die Verschlüsselung ausgewählt ist.

    Diese Abbildung zeigt eine Konfiguration, bei der die Verschlüsselung mit Benutzerzertifikat (zum Verschlüsseln) aktiviert ist.

     

    Hinweis: Wenn eine mit S/MIME digital signierte E-Mail Anlagen hat und der Empfänger S/MIME nicht aktiviert hat, werden die Anlagen nicht empfangen. Dieses Verhalten ist eine Einschränkung von Active Sync. Damit Sie mit S/MIME signierte E-Mails wirklich erhalten, aktivieren Sie S/MIME in den Secure Mail-Einstellungen.

     

Testen von S/MIME in iOS und Android

Wenn alle Schritte ohne Fehler ausgeführt wurden, dann kann der Empfänger eine von User1 oder User2 gesendete, signierte und verschlüsselte E-Mail lesen.

Die folgende Abbildung zeigt ein Beispiel einer verschlüsselten E-Mail, die vom Empfänger gelesen wird.

 

Die folgende Abbildung zeigt ein Beispiel für die Überprüfung des signierten vertrauenswürdigen Zertifikats.

 


Secure Mail durchsucht die Active Directory-Domäne nach den öffentlichen Verschlüsselungszertifikaten der Empfänger. Wenn ein Benutzer eine verschlüsselte Nachricht an einen Empfänger sendet, der keinen gültigen öffentlichen Verschlüsselungsschlüssel hat, wird die Nachricht unverschlüsselt gesendet. Wenn bei einer Gruppennachricht nur ein Empfänger keinen gültigen Schlüssel hat, wird die Nachricht an alle Empfänger unverschlüsselt gesendet.

localized image

Aktivieren von S/MIME für Secure Mail (Windows Phone)

Führen Sie nach dem Empfang der E-Mail folgende Schritte aus: Öffnen Sie die Nachricht mit Secure Mail für Windows Phone. Aktivieren Sie S/MIME mit den entsprechenden Zertifikaten zum Signieren und Verschlüsseln.

  1. Öffnen Sie in Secure Mail die E-Mail.

  2. Laden Sie das erste Zertifikat (zum Signieren) herunter und tippen Sie auf "Zum Signieren und Verschlüsseln importieren".

  3. Geben Sie das Kennwort ein, das dem privaten Schlüssel beim Export des Zertifikats zugewiesen wurde.

  4. Tippen Sie auf "Einstellungen", um die Signierung in Secure Mail zu aktivieren.

  5. Aktivieren Sie das Kontrollkästchen neben S/MIME.

  6. Aktivieren Sie unter Signieren das Kontrollkästchen "Ausgehende Nachrichten signieren" und stellen Sie sicher, dass das richtige Signaturzertifikat ausgewählt ist.

  7. Wechseln Sie zurück zu der E-Mail, um das Zertifikat für die Verschlüsselung herunterzuladen und zu importieren.

     

  8. Geben Sie das Kennwort ein, das dem privaten Schlüssel zugewiesen wurde.

     

  9. Wechseln Sie zu "Einstellungen" und tippen Sie unter VERSCHLÜSSELUNG auf Standardmäßig verschlüsseln, um Verschlüsselung für Secure Mail zu aktivieren.

 

 

Testen von S/MIME in Windows Phone

Wenn alle Schritte ohne Fehler ausgeführt wurden, dann kann der Empfänger eine von User 9 gesendete, signierte und verschlüsselte E-Mail lesen.

Die folgende Abbildung zeigt ein Beispiel einer verschlüsselten E-Mail, die vom Empfänger gelesen wird.

Die folgende Abbildung zeigt ein Beispiel für die Überprüfung eines signierten vertrauenswürdigen Zertifikats.

 

Konfigurieren von öffentlichen Zertifikatquellen

Zur Verwendung öffentlicher S/MIME-Zertifikate müssen Sie die öffentliche S/MIME-Zertifikatquelle, die LDAP-Serveradresse, den LDAP-Basis-DN und die Richtlinien für den anonymen LDAP-Zugriff konfigurieren. Weitere Informationen zu diesen Richtlinien finden Sie unter MDX-Richtlinien.

Führen Sie zusätzlich zu den App-Richtlinien folgende Schritte aus.

  • Stellen Sie bei öffentlichen LDAP-Servern sicher, dass der Datenverkehr direkt an die LDAP-Server gesendet wird. Legen Sie für die Netzwerkrichtlinie für Secure Mail die Einstellung Tunnel zum internen Netzwerk fest und konfigurieren Sie Split DNS für NetScaler.
  • Befinden sich die LDAP-Server in einem internen Netzwerk, führen Sie folgende Schritte aus:
    • iOS: Stellen Sie sicher, dass Sie nicht die Richtlinie "Gateway für Hintergrundnetzwerkdienst" konfigurieren. Bei Konfiguration dieser Richtlinie erhalten Benutzer häufige Authentifizierungsaufforderungen.
    • Android: Stellen Sie sicher, dass Sie die LDAP-Server-URL in die Liste für die Richtlinie "Gateway für Hintergrundnetzwerkdienst" aufnehmen.