S/MIME-sähköpostin salaus#

(Nitrokey HSM 2 - Windows)

Edellytykset#

Sähköpostin salaukseen on kaksi yleisesti käytettyä standardia.

  • OpenPGP/GnuPG on suosittu yksityishenkilöiden keskuudessa,

  • S/MIME/X.509 on useimmiten yritysten käytössä.

Nitrokey HSM 2 tukee tällä hetkellä S/MIME/X.509-standardia. Tällä sivulla kuvataan S/MIME-sähköpostin salauksen käyttö.

Sinun on ostettava S/MIME-sertifikaatti (esim. osoitteesta CERTUM) tai yrityksesi voi jo hankkia sellaisen. Lisäksi sinun on asennettava OpenSC järjestelmääsi. GNU/Linux-käyttäjät voivat yleensä asentaa OpenSC:n paketinhallinnan kautta (esim. sudo apt install opensc Ubuntussa), mutta macOS- ja Windows-käyttäjät voivat ladata asennustiedostot OpenSC -sivulta.

Muista

Windows-käyttäjien, joilla on 64-bittinen järjestelmä (standardi), on asennettava sekä 32-bittinen että 64-bittinen versio OpenSC:stä!

Tuo olemassa oleva avain ja varmenne#

Seuraavat ohjeet perustuvat OpenSC:n wikiin. Oletamme, että olet jo saanut avain-sertifikaattiparin .p12-tiedostona. Tutustu wikisivuun, jos olet saanut erillisen avain- ja varmentetiedoston.

Avaa Windowsin komentorivi painamalla Windows-näppäintä ja R-näppäintä. Kirjoita nyt tekstikenttään ’cmd.exe’ ja paina enteriä. Voit avata päätepäätteen macOS:ssä tai GNU/Linuxissa käyttämällä sovellushakua (esim. spotlight macOS:ssä).

Jotta nämä komennot olisivat mahdollisimman yksinkertaisia, .p12-tiedoston on oltava kotikansiossasi. Windowsissa tämä on yleensä C:\Users\yourusername ja macOS- ja GNU/Linux-järjestelmissä se on /home/yourusername. Jos et tallenna .p12-tiedostoa sinne, sinun on mukautettava polkua alla olevissa komennoissa. Liitä Nitrokey ennen komentojen lähettämistä.

Olettaen, että avainsertifikaattitiedostosi on ’myprivate.p12’, komennot Windowsissa näyttävät tältä:

"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

ja macOS:ssä ja GNU/Linuxissa se on seuraava

$ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
$ pkcs15-init --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

Nämä kaksi komentoa kopioivat avain-sertifikaattiparin korttipaikkaan 2 (tarvitaan sähköpostien salauksen purkamiseen) ja korttipaikkaan 3 (tarvitaan allekirjoittamiseen). Tuloste näyttää molemmissa järjestelmissä jotakuinkin tältä:

kuva1

Huomaa, että on virheilmoituksia, jotka voi jättää huomiotta (katso tulostusesimerkki yllä). Avain-sertifikaattipari on nyt ladattu Nitrokey-avaimeen.

Käyttö#

Näiltä sivuilta löydät lisätietoja käytöstä: