Guia instal lació del servei de xifratge de correu a Windows 7 i Outlook 2013 19/01/2016
2009122211000024 Nivell de classificació Pàgina 2 de 26
Fitxa del document Títol Guia instal lació del servei de xifratge de correu a Windows 7 i Outlook 2013 Fitxer físic Documento2 Codi 2009122211000024 Versió Redactat per Revisat per Aprovat per 8.1 CESICAT Data aprovació Data publicació Registre de canvis Versió Pàgines Data de modificació Motiu del canvi La informació continguda en aquest document és propietat del CESICAT. El destinatari es compromet a no divulgat la informació recollida en aquest document, ni reproduir-la total o parcialment, ni posar-la a disposició de tercers sense el consentiment previ per escrit del CESICAT. Propietari del document: CESICAT Nivell de Classificació: Nivell de classificació 2009122211000024 Nivell de classificació Pàgina 3 de 26
Índex OBJECTIU I MOTIVACIÓ... 5 ÀMBIT I VIGÈNCIA... 6 1. DESCRIPCIÓ... 7 1.1 Introducció... 7 2. INSTAL LACIÓ DEL CERTIFICAT DE XIFRATGE DE CORREU... 8 2.1 Instal lació dels certificats arrel CTTI i CESICAT... 9 2.2 Instal lació del certificat personal de xifratge... 12 2.3 Configurar l Outlook per tal que reconegui el certificat per a xifrar... 17 2.4 Procediment a seguir en cas d una renovació de certificat...21 3. COM XIFRAR UN MISSATGE DE CORREU ELECTRÒNIC... 23 4. XIFRAR UN CORREU ELECTRÒNIC A UN CONTACTE DE FORA DE LA GENERALITAT... 24 2009122211000024 Nivell de classificació Pàgina 4 de 26
Objectiu i Motivació El CESICAT, com a membre de la Comissió de Comunicacions Segures pel Govern de la Generalitat de Catalunya, es sensible a la necessitat de desplegar una solució tecnològica que permeti el xifratge de les comunicacions mòbils (veu, SMS i correu electrònic) dirigida als membres del Govern, Alts Càrrecs i el seu entorn. De cara a donar compliment a aquesta necessitat, el CESICAT ha desplegat un servei, per tal de dotar als usuaris d un mecanisme de seguretat per a l assegurament de la confidencialitat en l enviament de correus electrònics. D aquesta manera es pretén que un col lectiu d usuaris VIP/sensibles, puguin rebre els seus correus en mode xifrat. L objectiu d aquest procediment és detallar com s ha de configurar l estació de treball Windows per a utilitzar aquest servei. Aquest procediment va dirigit als usuaris finals, i als seus equips de Lloc de Treball, que tenen la necessitat de que els seus correus compleixin amb requisits de confidencialitat. També està dirigit a responsables tècnics que vulguin aplicar aquesta mesura a un col lectiu determinat de la seva organització. 2009122211000024 Nivell de classificació Pàgina 5 de 26
Àmbit i vigència Aquesta guia és aplicable a qualsevol usuari que compleixi amb els següents requeriments: Que preferiblement disposi de bústia de la plataforma de correu corporativa ECorreu,i sinó a qualsevol altre backend de la Generalitat. Que disposi de sistema operatiu Windows a la seva estació de treball. Que disposi d Outlook 2003 o superior. El certificat, que s entrega en format digital i suport software, permet al titular del certificat xifrar i desxifrar correus electrònics d usuaris del domini gencat.cat. En cap cas la signatura de correus amb la CA del CESICAT té validesa legal, i no es recomana tenir activada la signatura de correus per defecte en l enviament de correus. L ús dels certificats és el xifrat. 2009122211000024 Nivell de classificació Pàgina 6 de 26
1. Descripció 1.1 Introducció En primera instància s exposen quins són els requisits que s han de complir per a xifrar una comunicació via correu electrònic: L usuari destinatari del correu ha de disposar d un certificat digital amb clau privada. L usuari emissor del correu ha de disposar d accessibilitat a la clau pública del certificat del destinatari. A mode esquemàtic: L usuari emissor del correu va a buscar la clau pública de l usuari destinatari al Directori Corporatiu de la Generalitat, on està la Global Access List on estan publicades totes les claus públiques de tots els usuaris. L usuari destinatari desencripta el correu a través de la seva clau privada, que és la que correspon a la pública amb la qual ha xifrat l usuari emissor. 2009122211000024 Nivell de classificació Pàgina 7 de 26
2. Instal lació del certificat de xifratge de correu Un cop es resolgui la petició de provisió del servei de xifratge de correus, l usuari rebrà el següent correu: Benvolgut/da, Ens adrecem a vostè amb motiu de lliurar-li els enllaços necessaris per instal lar el seu certificat personal de xifrat, que el CESICAT li ha generat. L objectiu d aquesta acció és fer un pas endavant en la securització de les seves comunicacions de manera que, pugui enviar i rebre correus en mode xifrat. No obstant, li recordem que l'objectiu d'aquest sistema és el xifratge del correu i no la signatura, per tant, qualsevol signatura no serà reconeguda per aquesta entitat certificadora. Li preguem que segueixi el següent procediment: 1. Instal lació dels certificats arrel de les entitats certificadores. Faci clic sobre els següents enllaços i segueixi tot el procés guiat fins a la instal lació de casadcun d'ells (certificats arrel per tal que el seu navegador confiï amb els certificats generats): http://www.cesicat.cat/ca/cesicat-ca.cer https://portal.cesicat.cat/ca/ctti-ca.cer (ATENCIÓ!! cal seleccionar el magatzem d Entitats de certificació arrel de confiança quan carregui el certificat al PC Veure manual Windows). 2. Instal lació del certificat personal de xifratge Faci clic sobre aquest altre enllaç, per a instal lar el certificat personal generat (haurà d introduir el codi PIN del certificat). Rebrà aquest codi PIN per SMS. 3. Configuració del certificat als dispositius Cliqui aquí Segueixi el que s esmenta a les guies adjuntes en aquest correu (la que correspongui al sistema operatiu utilitzat) per a configurar els seus dispositius (PC, Iphone, Ipad, Blackberry,Windows Mobile, Samsung Galaxy) per a enviar correus xifrats. PC o Mòbil o o o o Windows: http://www.cesicat.cat/ca/manwin.pdf Windows Mobile: http://www.cesicat.cat/ca/manwinmobile.pdf Samsung Galaxy S3: http://www.cesicat.cat/ca/mansgalaxy.pdf Iphone: http://www.cesicat.cat/ca/maniphone.pdf Blackberry: http://www.cesicat.cat/ca/manbb.pdf Per qualsevol dubte relacionat amb aquest tema podeu contactar amb el Servei d Identitat Digital del CESICAT (identitat.digital@cesicat.cat ) o amb el seu SAU Departamental. IMPORTANT: No faci distribució d'aquest mail, conté dades personals i intransferibles que li pertanyen només a vostè. 2009122211000024 Nivell de classificació Pàgina 8 de 26
Atentament, CESICAT A continuació es detallen els passos a seguir per instal lar el xifratge de correu a l estació de treball. 2.1 Instal lació dels certificats arrel CTTI i CESICAT Correspon al punt 1 del correu electrònic (1. Instal lació dels certificats arrel de les entitats certificadores). S instal laran les claus públiques de l entitat de certificació per tal que el sistema operatiu confiï amb els certificats generats. Al clicar sobre el primer enllaç http://www.cesicat.cat/ca/cesicat-ca.cer, seleccionar obrir el fitxer. A continuació, es mostrarà el següent: Seleccionem instal lar certificat i apareixerà la següent finestra: 2009122211000024 Nivell de classificació Pàgina 9 de 26
Seleccionar Endavant. Escollir la segona opció, Colocar todos los certificados en el siguiente almacén, i Examinar. 2009122211000024 Nivell de classificació Pàgina 10 de 26
Seleccionar Entidades de certificación raíz de confianza i acceptar. Finalment, seleccionar Següent i triar Finalitzar. 2009122211000024 Nivell de classificació Pàgina 11 de 26
Si s ha importat correctament apareixerà la següent finestra: Cal recordar que aquest procés s ha de fer tant per l entitat CTTI com la de CESICAT (els dos enllaços inicials). Per tant, caldrà repetir el mateix procés aquest cop seleccionant l enllaç https://portal.cesicat.cat/ca/ctti-ca.cer. Un cop fet això l equip ja reconeixerà l Entitat de Certificació que ha emès el certificat. 2.2 Instal lació del certificat personal de xifratge Correspon al punt 2 del correu electrònic (2. Instal lació del certificat personal de xifratge). Seleccionar l enllaç anomenat click aquí on hi trobem la clau privada i posteriorment seleccionar obrir. A continuació apareixerà la següent finestra. 2009122211000024 Nivell de classificació Pàgina 12 de 26
Seleccionem Endavant. 2009122211000024 Nivell de classificació Pàgina 13 de 26
Es torna a seleccionar Endavant. Com que es tracta d un certificat personal, el navegador demanarà la contrasenya associada a aquesta clau privada. Aquesta contrasenya s haurà fet arribar a través d un SMS al seu telèfon o bé d un sobre cec. Caldrà introduir-la, deixar els dos primers checkbox sense seleccionar i l últim seleccionat (en versions anteriors de sistema operatiu només apareixen els dos primers) i polsar Endavant. 2009122211000024 Nivell de classificació Pàgina 14 de 26
Escollir la segona opció, Colocar todos los certificados en el siguiente almacén, i Examinar. Seleccionar la carpeta Personal i Acceptar. 2009122211000024 Nivell de classificació Pàgina 15 de 26
Un cop seleccionada la carpeta Personal, clicar Següent i posteriorment Finalitzar. 2009122211000024 Nivell de classificació Pàgina 16 de 26
Finalment si la instal lació és correcta apareixerà la següent pantalla: 2.3 Configurar l Outlook per tal que reconegui el certificat per a xifrar Cal haver seguit els passos descrits als apartats anteriors abans d iniciar aquest procés. En primer lloc seleccionar Arxiu i posteriorment Opcions. 2009122211000024 Nivell de classificació Pàgina 17 de 26
Un cop dins la finestra d opcions, anar a la pestanya Centre de confiança i posteriorment a Configuració centre de confiança. 2009122211000024 Nivell de classificació Pàgina 18 de 26
Seleccionar ara la pestanya Seguretat del correu electrònic i, dins de les opcions que apareixen seleccionar el botó anomenat Configuració. Un cop dins de configuració, s ha de donar un nom nou a la configuració de seguretat i també es pot seleccionar que aquesta configuració sigui la utilitzada a l Outlook per defecte 2009122211000024 Nivell de classificació Pàgina 19 de 26
pels missatges xifrats (opció recomanada). Posteriorment seleccionar el certificat de signatura que es vol utilitzar. Per a fer-ho, seleccionar Tria i escollir el mateix certificat que s ha instal lat en el 3.2. (el nom serà o bé inicialcognom-dni o nom.cognom-dni) i l emissor serà CESICAT-CA o CTTI-CA. Per altra banda, al desplegable Algoritme Hash s ha de seleccionar l opció SHA1, mentre que al desplegable Algoritme de xifrat les opcions recomanades són AES i, si aquest no apareix, 3DES. Un cop acabada la configuració, cal guardar seleccionant D acord en aquesta finestra i tornant a clicar D acord a la finestra de Centre de confiança. L últim pas serà actualitzar la llibreta global d adreces per sincronitzar els contactes. Per tal d actualitzar la llibreta global d adreces cal seguir els següents passos: 2009122211000024 Nivell de classificació Pàgina 20 de 26
Arxiu > Informació > Configuració del compte i al desplegable que s obre seleccionar Descarregar libreta de direccions. Al següent quadre de diàleg que ens apareix seleccionar acceptar: Un cop seleccionat, el procés de descàrrega pot tardar uns minuts, depenent de com de desactualitzada estigui la llibreta de direccions. 2009122211000024 Nivell de classificació Pàgina 21 de 26
Un cop acabat el procés, desapareixerà directament la finestra i tornarem al panell principal. 2.4 Procediment a seguir en cas d una renovació de certificat. En el cas que s hagi renovat el certificat de xifratge de correu, per tal de continuar visualitzant els correus xifrats amb el certificat antic s han de tenir instal lats els dos certificats, tant l antic com el nou certificat renovat, així com tenir aquest últim configurat com a predeterminat a l hora de xifrar els correus sortints. Per instal lar el certificat es durà a terme el pas 2.2 explicat anteriorment. S ha de tenir en compte que NO s ha de desinstal lar el certificat caducat. Per tal de configurar el certificat renovat al client de correu es seguirà el procediment del pas 2.3. 2009122211000024 Nivell de classificació Pàgina 22 de 26
3. Com xifrar un missatge de correu electrònic Per tal de xifrar un correu electrònic cal seguir els passos següents: a. Crear un nou correu electrònic b. Seleccionar Per a per veure els repositoris de contactes que hi ha definits al client de l Outlook c. Buscar el contacte/contactes que desitgem enviar un correu xifrat i seleccionar Acceptar. d. Escriure el cos del correu e. Per activar la opció de xifrar anar a Opcions i seleccionar Xifrar f. Un cop fet això, ja es pot enviar el correu electrònic. 2009122211000024 Nivell de classificació Pàgina 23 de 26
4. Xifrar un correu electrònic a un contacte de fora de la Generalitat a. Crear una nova entrada a la llibreta de direccions: A la part inferior esquerra, seleccionar Contactes i posteriorment Nou Contacte b. Omplir les dades del contacte a la finestra emergent 2009122211000024 Nivell de classificació Pàgina 24 de 26
c. Anar al botó Certificats i posteriorment seleccionar Importar d. Seleccionar l arxiu en el qual està el certificat de la persona a la qual es vol enviar un correu xifrat (és la clau pública, l arxiu.cer). L hem de tenir guardat en alguna carpeta coneguda del nostre ordinador. I Acceptar. Finalment seleccionar Guardar i tancar. 2009122211000024 Nivell de classificació Pàgina 25 de 26
e. Enviar el correu seguint els passos de l apartat 3. 2009122211000024 Nivell de classificació Pàgina 26 de 26