Sähköpostin S/MIME-salaus Macille

Pilvipalveluissa on kiinnitettävä entistä enemmän huomiota tietojen luottamuksellisuuteen (esim. sähköpostit).
Yliopistolla on tarjolla useitakin vaihtoehtoja salaukselle. Tässä ohjeessa kerrottu joustavampi vaihtoehto enemmän luottamuksellista tietoa käsitteleville henkilöille. Tämä tapa tulee ottaa käyttöön esim. esimiehen tai helpdeskin suosituksesta.

Jos sinulla ei ole erityistä syytä käyttää tätä salaustapaa, käytä kevyempää vaihtoehtoa:

Kaikkea viestintää ei tarvitse salata.
Ota salaus käyttöön silloin, kun käsittelet tietosuojattua materiaalia. Tarkemmat luokittelut Flammassa.

Tabs

Tarkka ohje

Lähetettäessä salattua sähköpostia toiseen Deltagonin Sec@GW-luottamusverkostoon kuuluvaan sähköpostiin tulee sähköpostin otsikkokenttään teksti [D-Network].

Tässä S/MIME-salauksen käytön ohjeet Macille. Vaiheet 1, 2 ja 5 tarvitsee tehdä vain kerran.

Salattua sähköpostia voi lähettää ja lukea tässä ohjeessa kuvatulla tavalla vain siltä koneelta, jolle varmenne on asennettu!

1. Varmenteen tilaus

Lähetä (tyhjä) sähköposti osoitteeseen smime-request@helsinki.fi.s.
Saat hetken päästä sähköpostin samasta osoitteesta otsikolla Certificate Request. Viestissä on linkki osoitteeseen securemail.helsinki.fi. Napsauta linkkiä.

Huomaa, että turvallisuussyistä linkki toimii VAIN kerran!

Avautuu selainikkuna, jossa luodaan salasana varmenteelle.

Kirjoita salasana (varmistukseksi kahdesti) ja napsauta Create (Luo).

Muista tallentaa salasana myös myöhempää käyttöä varten, sillä tarvitset salasanaa mm. koneen vaihdon yhteydessä.

Seuraavaksi varmenne latautuu koneelle Downloads (Lataukset) -kansioon.

2. Tuonti Maciin

  • Avaa Keychain Access (Avainnippu). Löytyy polusta Applications (Ohjelmat) > Utilities (Lisäohjelmat).
     
  • Napsauta File (Arkisto) > Import Items... (Tuo kohteita...) ja etsi Downloads (Lataukset) -kansiosta juuri luotu varmenne (.p12-tiedosto). Valitse Destination Keychain (Kohdeavainnippu) -alasvetovalikosta Login (Kirjautuminen). Napsauta Open (Avaa).

  • Seuraavaksi kysytään varmenteen salasanaa (1-vaiheessa luotu).

Varmenteen merkitseminen luotettavaksi

Apple on merkinnyt järjestelmässä valmiiksi olevat varmenteet luotetuiksi, mutta itse tuotuihin varmenteisiin ei automaattisesti luoteta. Tämän takia sinun pitää itse merkitä varmenne luotetuksi. Toimi seuraavasti:

  • Tuotuasi oman juuri tekemäsi varmenteen, Certificates-avainnippuun on ilmestynyt kolme varmennetta.
  • Napsauta hiiren kakkosnäppäimellä juurivarmennetta, jossa punainen rasti kirjekuori-kuvakkeen päällä.

  • Valitse avautuvasta valikosta Get Info (Näytä tiedot).

  • Avautuu tarkempi kuvaus varmenteesta. Napsauta Trust (Luottamus)-tekstin edessä olevaa nuolta, ja saat auki tarkemman listauksen.
  • Valitse When using this certificate (Varmennetta käytettäessä)-kohtaan alasvetovalikosta Always trust (Luota aina). Ilman tätä valintaa varmenteen käyttö koneella toimii, mutta antaa virheilmoituksia.

  • Sulje juurivarmenne-ikkuna (punaisesta pallosta vasemmassa kulmassa) ja järjestelmä kysyy sinun hyväksyntää. Allekirjoita omalla käyttäjätunnuksesi salasanalla (ei siis varmenteen salasanalla).

Nyt juurivarmenne ja siitä lähtevä luottamusketju on hyväksytty tällä koneella.

Tämän jälkeen säädä asetukset siinä sähköpostiohjelmassa jota käytät:

Mac Mail

Käynnistä kone ja Mail -ohjelma kerran uudelleen. Sen enempiä säätöjä ei tarvitse. Siirry kohtaan 3 (Vastaanottajan varmenteen tilaus).

Microsoft Outlook:

  • Avaa Outlook > Preferences ja valitse Accounts. Valitse Helsinki.fi-tili ja napsauta Advanced...
  • Valitse Security-välilehti. Valitse alasvetovalikosta sähköpostiosoitteesi kohtiin Digital signing, Encryption ja Certificate authentication. Napsauta OK.

Ennenkuin aloitat lähettämään postia, on hyvä käynnistää kone ja Outlook uudelleen.

Koneen uudelleenkäynnistyksen jälkeen olet valmis lähettämään salattua sähköpostia Outlookista. Voit jatkaa seuraavaan vaiheeseen.

3. Vastaanottajan varmenteen tilaus

Sinun on tilattava julkinen varmenne jokaiselle, jolle haluat lähettää salattua sähköpostia.

Lähetä sähköposti osoitteeseen smime-request@helsinki.fi.s otsikolla vastaanottajan sähköpostiosoite.s (esim. juhani.pitkanen@helsinki.fi.s).

Saat hetken päästä vastausviestin.

Seuraava toimenpide ei ole pakollinen, mutta erittäin suositeltava:

  • Napsauta Certificate Request-viestin otsikkokentässä olevaa sähköpostiosoitetta ja valitse Mailissa Add to Contacts (Lisää yhteystietoihin) tai Outlookissa Open Outlook contact... (Avaa Outlookin yhteyshenkilö...). Outlookissa voit vielä muokata tietoja. Muista lopuksi painaa Save & Close (Tallenna ja sulje).

4. Salatun viestin lähettäminen

Kun olet tilannut vastaanottajan varmenteen ja tallentanut myös henkilön salatun sähköpostiosoitteen kontakteihisi (katso edellinen vaihe), voit lähettää kyseiselle henkilölle viestin salattuna. Yhdellä henkilöllä voi siis olla kaksi sähköpostiosoitetta, salattu ja salaamaton osoite.

  • Outlookissa valitse Options (Asetukset) -välilehti ja napsauta Encrypt (Salaa viesti) ja Sign (Allekirjoita viesti digitaalisesti) -merkkejä.

  • Mac Mailissa salaus- ja allekirjoitusvalinnat tulevat automaattisesti tarjolle, kun on sähköpostiosoitteen perässä on .s. Varmista, että lukko on suljettu.

Muista tarkistaa, että osoitteessa on lopussa .s (3). Osoite löytyy nyt osoitekirjasta, joten muista tarkistaa, että valitset salatun sähköpostin osoitteen.

Kun napsautat Send (Lähetä), Outlook kysyy vielä, saako käyttää avainta. Valitse Allow. Voit myös halutessasi valita Always Allow, jolloin tätä kyselyä ei enää tule.

5. Varmenteen säilyttäminen

Varmenne on kuin henkilöllisyyspaperi. Säilytä sitä huolella.

Varmenne pitää säilöä huolella. Älä säilytä sitä kuitenkaan jatkossa työkoneellasi salaamattomana, vaan mieluiten KRYPTATULLA muistitikulla (ohje). Toinen riittävän turvallinen vaihtoehto on salasanasuojattu zip-tiedosto (ohje) sellaisella yliopiston verkkolevyllä, johon ainoastaan sinulla on pääsy. Muista tällöin käyttää myös riittävää salasanasuojausta.

Mikäli varmenne häviää, se on hylättävä ja tietoturva generoi käyttäjälle uuden varmenteen. Tällöin vanhalla varmenteella salatut postit muuttuvat lukukelvottomiksi pysyvästi. Mikäli koet ongelmia varmenteen kanssa, ota yhteys Helpdeskiin.

Muista siis, ettei posteja kannata turhaan salata. Salaa vain viestit, joissa käsitellään salassapidettäviä asioita.

6. Ongelmatilanteita

Pystyt lukemaan salatut viestit, mutta viestin yläreunassa lukee Unable to verify message signature.

Korjaus: Tee varmenne luotetuksi koneella.

Microsoftin ohjeet