Skip to main content

Zertifikate

KIX kann ein- und ausgehende E-Mails mit dem S/MIME-Standard verschlüsseln und entschlüsseln sowie signieren und verifizieren.

Voraussetzungen

Damit KIX E-Mails ver-/entschlüsseln sowie signieren und verifizieren kann, müssen gültige S/MIME-Zertifikate und die dazugehörigen Privaten Schlüssel im System hinterlegt werden. Deren Beschaffung obliegt Ihnen. Sie benötigen zum:

  • Verschlüsseln: das S/MIME-Zertifikat des Empfängers (ausgehend)

  • Entschlüsseln: das S/MIME-Zertifikat und der dazugehörige Private Schlüssel des Empfängers (eingehend)

  • Signieren: das S/MIME-Zertifikat und der dazugehörige Private Schlüssel der jeweiligen Absenders (ausgehend)

  • Verifizieren: das S/MIME-Zertifikat des Absenders (eingehend)

Hinweis

Beachten Sie, dass S/MIME-Zertifikate in der Regel case-sensitiv ausgestellt werden.

E-Mails, die keinen ContentType besitzen, denen wird automatisch der ContentType "text/plain" zugewiesen. Damit wird gewährleistet, dass die Verifizierungs-/Entschlüsselungsprüfung durchgeführt werden kann, auch wenn die E-Mail keine Signierung oder Verschlüsselung besitzt.

Zertifikate und Schlüssel importieren

Der Import der Zertifikate und Schlüssel erfolgt entweder über API-Ressource oder über die GUI im Menü Kommunikation > E-Mail > Zertifikate.

Wichtig

Werden Zertifikate und Private Schlüssel direkt in die Ordner des Systems gelegt, werden Sie von KIX nicht verwaltet. Sie werden somit nicht genutzt und sind auch bei einem Update oder Neustart des Systems nicht vor Verlust geschützt.

Vor dem Hinzufügen eines Privaten Schlüssels muss zuerst das dazugehörige Zertifikat im System hinterlegt werden. Fügen Sie Zertifikate als .crt-Datei hinzu, da aktuell das .p12-Format nicht unterstützt wird.

Bei Erstellung eines Zertifikates muss eine gültige E-Mail-Adresse angegeben sein, damit diese vom System auch richtig genutzt werden kann und eine Zugehörigkeit besteht.

Hinweis für Windows-Nutzer

Erfolgt der Import von ".pem" oder ".key" über ein Windows-System, müssen Sie zuvor die notwendigen MIME-Types der Windows- Registry hinzufügen, da diese von Windows nicht ausgeliefert werden. Anderenfalls schlägt der Import fehl, da kein MIME-Type gesetzt ist.

  • ".pem" "application/x-pem-file" oder application/x-x509-ca-cert

  • ".key" "application/x-iwork-keynote-sffkey" oder application/vnd.apple.keynote

Gehen Sie wie folgt vor:

  • Import via API-Ressource

    • Sie können die Zertifikate und Privaten Schlüssel via API-Ressource hochladen (system/certificate).

    • Detaillierte Informationen finden Sie in unserer KIX API Dokumentation

  • Import via GUI

    1. Navigieren Sie im Admin-Modul zu Kommunikation > E-Mail > Zertifikate

    2. Für den Import klicken Sie auf Zertifikat importieren bzw. auf Privaten Schlüssel importieren

    3. Wählen Sie im sich öffnenden Dialog die entsprechende Datei aus.

    4. Klicken Sie abschließend auf Speichern.

      KIX importiert die Daten und legt sie an entsprechender Stelle im System ab.

    Danach finden Sie in der Übersicht die hinterlegten Zertifikate und Privaten Schlüssel.

    Um nach Zertifikaten und Privaten Schlüsseln zu suchen, können Sie ins Suchfeld den Namen oder die E-Mail-Adresse eingeben.

    zertifikat-verwaltung.png

    Abb.: Die Verwaltung der Zertifikate und Privaten Schlüssel

Signieren

Alle von KIX versendeten E-Mails werden vom System und nicht vom jeweiligen Nutzer versendet. Daher müssen Sie folgende Zertifikate und Private Schlüssel hinterlegen, damit die von KIX versandten E-Mails signiert werden können.

  • Für E-Mails, die vom Ticket bzw. Artikel gesendet werden: die an den Teams hinterlegten Systemadressen

    (Admin-Modul: Kommunikation > E-Mail > E-Mail-Adressen).

  • Für Ticketbenachrichtigungen: die in der SysConfig hinterlegte Systemadresse

    Konfigurationsschlüssel: NotificationSenderEmail

Das Signieren von E-Mails wird vom System immer vorgenommen. Nach erfolgreichem Signieren enthält die E-Mail einen Dateianhang (Smime.p7s). Sind Zertifikat und Privater Schlüssel nicht vorhanden, erfolgt auch kein Signieren der ausgehenden E-Mail.

Kennzeichnung in der Kommunikationshistorie

Sind Zertifikate und Privater Schlüssel vorhanden, dann wird am Artikel ein zusätzliches Icon am Avatar des Absenders (ausgehend) angezeigt, welches das erfolgreiche oder fehlgeschlagene Signieren der E-Mail kennzeichnet:

  • ICON_verifizieren-erfolgreich.png - grünes Zertifikat-Symbol mit Häkchen: Signieren erfolgreich durchgeführt

  • ICON_verifizieren-fehlgeschlagen.png - rotes Zertifikat-Symbol mit Fragezeichen: Signieren ist fehlgeschlagen. Die Fehlerbeschreibung wird als Tooltip angezeigt.

  • ICON_keine-verschluesselung.png - kein Icon: E-Mail wurde nicht signiert.

Verifizieren

Beim Eingang von S/MIME-signierten E-Mails kann KIX den Absender verifizieren und damit dessen Echtheit bestätigen. Dazu wird das Zertifikat des Absenders benötigt, welches in KIX hinterlegt werden muss.

Signierte E-Mails haben einen Dateianhang (Smime.p7s), welche bei Nachrichteneingang von KIX geprüft wird. Wenn für den Absender ein Zertifikat existiert, wird am Artikel ein zusätzliches Icon am Avatar des Absenders (eingehend) angezeigt, welches auf eine erfolgreiche oder fehlgeschlagene Prüfung hinweist:

  • ICON_verifizieren-erfolgreich.png - grünes Zertifikat-Symbol mit Häkchen: Zertifikat erfolgreich geprüft

  • ICON_verifizieren-fehlgeschlagen.png - rotes Zertifikat-Symbol mit Fragezeichen: Zertifikat nicht erfolgreich geprüft. Die Fehlerbeschreibung wird als Tooltip angezeigt.

  • ICON_keine-verschluesselung.png - kein Icon: E-Mail war nicht signiert.

Hinweis

Self-Sign Zertifikate werden immer als Fehlermeldung angezeigt, da das Zertifikat nicht als vertrauenswürdig anerkannt wird.

Verschlüsseln

Damit KIX ausgehende E-Mails verschlüsseln kann, muss ein gültiges Zertifikat des jeweiligen Empfängers im System hinterlegt sein. Zudem muss am Ticket/Artikel bzw. in der Konfiguration von Benachrichtigungen explizit ausgewählt werden, dass die E-Mail verschlüsselt werden soll.

Nach dem erfolgreichen Verschlüsseln ist der Inhalt der E-Mail eine Datei (Smime.p7m), welche vom Empfänger verifiziert und entschlüsselt werden kann.

Hinweis

Wenn bei To/Kontakt, Cc, Bcc in Summe mehr als 1 Empfänger angegeben sind, erfolgt keine Verschlüsselung.

Eine Ausnahme sind Benachrichtigungen, da diese pro Empfänger die E-Mail separat versenden.

Verschlüsselung der Nachricht am Ticket/Artikel

Beim Versand von E-Mails kann der Agent wählen, ob die Mail verschlüsselt oder unverschlüsselt versendet wird. Voraussetzung dafür ist, dass am Ticket bzw. Artikel genau 1 Kontakt als Mailempfänger und der Kanal "E-Mail" ausgewählt ist.

Sind weitere Empfänger in To/Kontakt, Cc oder Bcc gesetzt, entfällt die Option zur Verschlüsselung der Nachricht.

Ist die Option Verschlüsseln wenn möglich aktiviert, wird die E-Mail verschlüsselt an den Empfänger versendet, sofern eine S/MIME Verschlüsselung möglich ist. KIX verwendet dazu das Zertifikat des Empfängers, sofern dies im System hinterlegt ist. Im Fehlerfall wird die E-Mail unverschlüsselt gesendet.

zertifikate_neuer-artikel_mail-verschluesseln.png

Abb.: Verschlüsselung der Mail ist möglich, wenn Kanal "E-Mail" und 1 Kontakt gewählt ist und es keine Cc/Bcc-Empfänger gibt (Dialog Neuer Artikel)

Verschlüsselung von Benachrichtigungen

Ticketbenachrichtigungen können verschlüsselt versendet und empfangen werden. In der Konfiguration einer Benachrichtigung (Admin Modul: Automatisierung > Benachrichtigungen) können Sie unter Benachrichtigungsmethoden die E-Mail-Sicherheit festlegen. Darüber können Sie einstellen, ob die Nachricht verschlüsselt werden soll. Das kann bspw. erforderlich sein, wenn die Ticketbenachrichtigung sensible Daten enthält.

Benachrichtigung_verschlusseln.png

Abb.: Verschlüsselungsoptionen im Dialog "Neue Benachrichtigung"

  • Verschlüsseln oder nicht senden

    Die Benachrichtigung wird an die Empfänger nur dann versendet (verschlüsselt), wenn eine S/MIME Verschlüsselung möglich ist.

    Sind mehrere gültige Zertifikate vorhanden, wird das zuletzt angelegte Zertifikat verwendet.

    Schlägt die Verschlüsselung fehl (z. B. kein Zertifikat vorhanden), dann wird keine Nachricht versendet und als Fehler markiert.

  • Wenn möglich verschlüsseln

    Die Benachrichtigung wird verschlüsselt an die Empfänger versendet, wenn eine S/MIME-Verschlüsselung möglich ist.

    Sind mehrere gültige Zertifikate vorhanden, wird das zuletzt angelegte Zertifikat verwendet.

    Die Benachrichtigung wird als HTML versendet, wenn keine SMIME-Verschlüsselung möglich ist.

  • Keine Verschlüsselung (Standard)

    Die Benachrichtigung wird als HTML versendet.

Kennzeichnung in der Kommunikationshistorie

In der Kommunikationshistorie informieren Icons über das erfolgreiche oder fehlgeschlagene Verschlüsseln der E-Mail:

  • ICON_verschluesselung-erfolgreich.png - Schloss-Icon - geschlossen - grün: Verschlüsselung erfolgreich

  • ICON_verschluesselung-fehlgeschlagen.png - Schloss-Icon - geschlossen - rot: Verschlüsselung fehlgeschlagen. Die Fehlerbeschreibung wird als Tooltip angezeigt.

  • ICON_nicht_gesendet.png - Schloss-Icon - geschlossen - rot - mit zusätzlichem Ausrufezeichen: Verschlüsselung fehlgeschlagen und E-Mail nicht gesendet. Die Fehlerbeschreibung wird als Tooltip angezeigt.

Entschlüsseln

Für das Entschlüsseln eingehender E-Mails wird das Zertifikat und der dazugehörige Private Schlüssel des Empfängers benötigt, um den Inhalt der E-Mail offenzulegen.

Kennzeichnung in der Kommunikationshistorie

In der Kommunikationshistorie informieren Icons über das erfolgreiche oder fehlgeschlagene Entschlüsseln der E-Mail:

  • ICON_entschluesselung-erfolgreich.png - Schloss-Icon - geöffnet - grün: Entschlüsselung erfolgreich

  • ICON_entschluesselung-fehlgeschlagen.png - Schloss-Icon - geöffnet- rot:

    • Eine Fehlerbeschreibung wird als Tooltip angezeigt

    • Als Artikelinhalt wird "Could not decrypt message" angegeben

    • Die Original-E-Mail kann als Quelltext am Artikel abgefragt werden.

In diesem Abschnitt: