MANUALE OPERATIVO Outlook express Firma Digitale e crittografia dei messaggi (e-mail)
Firmare e cifrare una e-mail con la carta multiservizi. Per firmare digitalmente un'e-mail occorre: 1. Installare il certificato di CA di Postecom 2. Avviare il programma Regtool.exe 3. Inserire nel lettore la Smart Card 4. Configurare Outlook express 1. Installare il certificato di CA di Postecom: Dalla barra delle applicazioni, clicchiamo su START, seguendo il percorso riportato in fig.1 apriamo il programma FirmaOK!gold. (fig.2) fig.1 fig.2 2
Dalla schermata principale selezioniamo la voce Accedi, dal menu Certificati così come riportato in figura (fig.3). fig.3 Nella schermata FirmaOK!gold-Archivio certificati cliccare sul pulsante Attiva archivio (fig.4) fig.4 3
Una volta attivato l archivio dei certificati procediamo cliccando su aggiorna lista CA accreditate (fig.5) Nella schermata che segue sarà opportuno cliccare sul pulsante OK del Certificato firmatario lista certificati CA accreditate (fig.6) fig.5 fig.6 La schermata che segue ci chiede di inserire la password per accedere all archivio dei certificati che risiede in locale (sul PC dell utente). L archivio certificati è l archivio locale sicuro che consente di gestire e aggiornare i certificati dei propri interlocutori. E possibile memorizzare nell archivio i certificati ottenuti come 4
risultato di una ricerca dal Registro certificati, oppure salvare i certificati ottenuti dalla verifica di file firmati. Per accedere all archivio certificati, dal menu certificati si deve selezionare archivio certificati e quindi Accedi. La password dell archivio dei certificati, viene assegnata al momento della prima installazione dell applicativo FirmaOK!gold, per defoult è 1 2 3 4 5 6 a meno che l utente non abbia provveduto a personalizzarla in un secondo momento. La password dell Archivio certificati rafforza i criteri di sicurezza delle informazioni contenute nell archivio stesso. Verrà richiesto l inserimento della password dell archivio ogni volta che viene effettuata un operazione che va a modificare la struttura o il contenuto dell archivio. (fig.7) E possibile modificare la password dell archivio certificati dal menu Certificati, sotto la voce Archivio certificati Cambia password nella schermata principale di FirmaOK!gold, e attendere il messaggio di operazione conclusa. Una volta avuto acceso all archivio dei certificati possiamo eseguire le seguenti operazioni: Visualizzare i certificati memorizzati; Importare, esportare ed eliminare i certificati contenuti nella cartella Credibili o Utenti ; Controllare e aggiornare le informazioni di revoca e credibilità NB:la password non necessariamente deve essere uguale al PIN della smart card. Se l utente non dovesse ricordare la password (dell archivio dei certificati) si dovrà procedere ex novo all installazione di firmaok!gold. fig.7 Procediamo così con l inserire la password corretta (di defoult è 123456 a meno che non si è provveduto a cambiarla) e confermiamo cliccando sul pulsante Conferma (fig.8) 5
fig.8 Vengono così scaricati, in locale, i certificati CA accreditati e l applicativo ci darà conferma che l operazione è andata a buon fine mostrandoci l avviso riportato in fig.9. Confermiamo cliccando su OK. fig.9 Nella schermata seguente (fig.10) possiamo vedere il risultato dell operazione che abbiamo eseguito prima (fig.9). 6
fig.10 Procediamo selezionando il certificato che serve alla nostra causa (configurare outlook) così come mostrato in fig.11. Quindi selezioniamo il certificato Postecom CA1 e lo salviamo, per nostra comodità, sul desktop del PC dell utente cliccando su esporta certificato (fig.11). fig.11 A questo punto non resta che selezionare il desktop e accertarsi che il file che stiamo salvando sia proprio Postecom CA1.cer e quindi clicchiamo su Salva. (fig.12) 7
fig.12 Se l operazione precedente è andata a buon fine, sul desktop dell utente dovremmo trovare l icona riportata qui di seguito (fig.13) che riporta l icona del certificato di PostecomCA1. fig.13 Procediamo installando il certificato PostecomCA1.cer cliccandoci sopra e cliccando poi su Installa certificato (fig.14). 8
fig.14 Nella schermata Importazione guidata certificati selezioniamo Avanti (fig.15). fig.15 Spuntiamo la voce Mettere tutti i certificati nel seguente archivio e clicchiamo su Sfoglia (fig.16). fig.16 Nella schermata che viene visualizzata, selezionare Autorità di certificazione fonti attendibili e cliccare su OK (fig.17). 9
fig.17 Procediamo cliccando su Avanti (fig.18). Terminiamo l importazione cliccando su Fine (fig.19). fig.18 10
fig.19 Se la procedura che abbiamo seguito è andata a buon fine dovremmo visualizzare questa schermata (fig.20) e clicchiamo su OK. 11
fig.20 12
Come avviare il programma Regtool.exe 2. Avviare il programma Regtool.exe Dopo avere installato le librerie della Smart Card per attivare la funzionalità di autenticazione è necessario avviare il programma Regtool.exe. Regtool.exe può essere avviato sia in modo automatico sia in modo manuale ogni qual volta si renda necessario autenticarsi. Come avviare automaticamente il programma Regtool.exe (scelta consigliata) Per far partire in modo automatico il programma al momento dell'avvio del computer è necessario creare un collegamento al file Regtool.exe( lo troviamo in C:\WINDOWS\system32) nella cartella "Esecuzione automatica" del menu di Avvio. Per Windows 2000 e Windows XP Professional procedere come segue 1. Cliccare su Start (Avvio) 2. Selezionare Programmi 3. Selezionare Esecuzione Automatica 4. Cliccare con il tasto destro del mouse su Esecuzione automatica e selezionare la voce Apri 5. Selezionare File 6. Selezionare Nuovo 7. Selezionare Collegamento 8. Cliccare su Sfoglia e selezionare il programma Regtool.exe nella cartella c:\windows\system32\regtool.exe oppure c:\winnt\system32\regtool.exe (per Windows2000) 9. All'interno della cartella Esecuzione Automatica sarà visualizzato il programma Regtool.exe e partirà automaticamente all'avvio del computer. La presenza del programma Regtool, quando attivo, è segnalata nella barra delle applicazioni, dall'icona indicata in figura. Per Windows 98 procedere come segue: 1. Cliccare su Start (Avvio) 2. Selezionare Impostazioni 3. Selezionare Barra delle Applicazioni 4. Selezionare Menu di Avvio 5. Cliccare su Aggiungi 6. Cliccare su Sfoglia e selezionare il programma Regtool.exe contenuto nella cartella c:\windows\system\ 7. Cliccare su Apri 8. Cliccare su Avanti 9. Selezionare la cartella Esecuzione Automatica 10. Cliccare su Avanti 11. Cliccare su Chiudi 12. All'interno della cartella Esecuzione Automatica verrà visualizzato il programma Regtool.exe e partirà automaticamente ad ogni avvio del computer. 13
La presenza del programma Regtool attivo è segnalata, nella barra delle applicazioni, dall'icona indicata in figura. Come avviare manualmente il programma Regtool.exe 1. Cliccare su Start (Avvio) 2. Selezionare Programmi 3. Selezionare GemPKCS Runtime 4. Cliccare su GemPKCS Certificate Registration Tool (vedi figura) Una procedura analoga può essere utilizzata per creare un icona di collegamento al programma che consenta l'avvio semplice e rapido di Regtool su richiesta dell'utente. 1. Cliccare su Start (Avvio) 2. Selezionare Programmi 3. Selezionare GemPKCS Runtime 4. Cliccare con il tasto destro del mouse su GemPKCS Certificate Registration Tool 5. Selezionare Invia a 6. E cliccare su Desktop (crea collegamento) 7. Sul Desktop verrà visualizzata l'icona di collegamento al programma Regtool che potrà essere avviato ogni qual volta sia necessario autenticarsi tramite Smart Card. 14
3. Inserire nel lettore avuto in dotazione la Smart Card (carta multiservizi regionale) Per utilizzare la Smart Card è necessario inserirla correttamente nel lettore, con il chip che contiene i dati rivolto verso il basso e il lato con il proprio nome rivolto dalla parte del lettore su cui è stampato il logo Poste.it. È possibile inserire la Smart Card nel lettore in qualsiasi momento, anche dopo aver lanciato l applicativo FirmaOk!gold. Quando la Smart Card è stata inserita correttamente, la luce verde intermittente sulla parte superiore del lettore diventa fissa. Quando FirmaOK!gold o outlook avrà bisogno di accedere alle chiavi contenute nella Smart Card, per esempio per applicare a un documento la firma digitale, sarà richiesto l inserimento del PIN. Attenzione Inserendo un PIN errato per 3 volte consecutive, la carta verrà bloccata e potrà essere sbloccata solo tramite il codice PUK. Si consiglia di conservare il PIN e il PUK separatamente dalla Smart Card. Corretto inserimento della carta multiservizi nel lettore USB GemPC Twin Corretto inserimento della carta multiservizi nel lettore seriale GemPC410 15
4. Configurare Outlook express Ritorniamo alla schermata iniziale di FirmaOK!gold (fig.21). fig.21 Come riportato in figura 22 selezioniamo la voce Accedi per poter salvare sul computer i propri certificati digitali, uno di firma e uno di cifra. fig.22 16
Siamo adesso nella sezione Registro certificati (Fig.23), possiamo così effettuare la ricerca dei certificati di nostro interesse selezionando la voce esegui ricerca evidenziata in Fig.23. fig.23 La ricerca dei nostri certificati possiamo effettuarla utilizzando due criteri differenti, per cognome o per indirizzo di posta elettronica.(fig.24). Ricerca dei certificati attraverso il cognome: fig.24 spuntando la voce Nome(Common Name) e scrivendo il proprio cognome nel campo Cerca, per esempio Rossi (Fig.24.a) e clicchiamo su Conferma. 17
fig.24a Ricerca dei certificati attraverso l indirizzo di posta elettronica: spuntando la voce Indirizzo di posta elettronica (Email) e scrivendo il proprio indirizzo di posta elettronica nel campo Cerca, per esempio mario.rossi@regione.basilicata.it (Fig.24b) e clicchiamo su Conferma. fig.24b 18
Terminata la ricerca, in base ai criteri utilizzati, ci troveremo in una situazione analoga a quella riportata in Fig.25, dove una finestra di avviso ci avviserà sul numero di certificati disponibili. fig.25 Adesso non resterà che spuntare i due certificati (Fig.26) relativi al nominativo per cui abbiamo effettuato la ricerca. In caso di omonimia leggere attentamente i dati relativi al certificato e cliccare su esporta certificati (Fig.26). fig.26 19
Per nostra comodità, salveremo sul desktop i due certificati che abbiamo selezionato. Salveremo prima il certificato di firma (firma.cer). Fig.27. fig.27 E poi salveremo quello di cifra (cifra.cer) (Fig.28). fig.28. 20
Se le operazioni sono andate tutte a buon fine, sul nostro desktop visualizzeremo i certificati riportati in Fig.29. fig.29 Procediamo adesso col configurare il nostro client di posta elettronica per poter inviare messaggi di posta elettronica firmati digitalmente ed eventualmente anche cifrati (crittografati). Apriamo outlook express Fig.30. fig.30 Seguendo quanto riportato in Fig.31 selezioniamo Account per creare, se non esiste, la nostra casella di posta elettronica. Se già possediamo una casella di posta elettronica possiamo seguire le indicazioni riportate in fig.39. fig.31 21
Nella finestra che ci apparirà selezioniamo Posta elettronica e posizionando il cursore del mouse sul pulsante Aggiungi selezioniamo la voce Posta elettronica (Fig.32). fig.32 Nel nome visualizzato possiamo inserire il nostro nominativo (nome e cognome o solo cognome) o un qualsiasi identificativo. (Fig.33). fig.33 22
Nel campo Indirizzo di posta elettronica: inseriremo la nostra casella di posta elettronica, per esempio mario.rossi@regione.basilicata.it. (Fig.34). Per poter firmare digitalmente una email, dovremo essere certi che l indirizzo che abbiamo appena scritto corrisponda alla casella di posta elettronica a cui è associato il certificato di firma digitale (rilasciatoci da Postecom). Procediamo cliccando sul pulsante Avanti. (Fig.34). fig.34 Nell immagine seguente, i dipendenti della regione Basilicata, dovranno riempire i campi relativi al POP3 e all SMTP così come riportato in Fig.35. Gli utenti degli enti connessi alla RUPAR potranno chiedere all amministratore di rete dell ente di appartenenza. Clicchiamo sul pulsante Avanti.(Fig.35.) fig.35 23
Nella figura seguente dovremo inserire la casella di posta elettronica ed eventualmente inserire la password spuntando la voce Memorizza password per evitare di digitare la password ogni volta che si accede alla propria casella di posta elettronica.(fig.36) fig.36 La figura seguente ci conferma la corretta creazione della nostra casella di posta elettronica (Fig.37). fig.37 24
Procediamo adesso ad associare il certificato di firma digitale (presente nella carta multiservizi in nostro possesso) alla casella di posta elettronica che abbiamo precedentemente configurato.(fig.38) fig.38 Dalla schermata iniziale di Outlook Express selezionare la voce Opzioni (Fig.39). fig.39 25
Selezionare la cartella Protezione e cliccare sul pulsante ID digitali (Fig.40) fig.40 In fig.40 spuntando le ultime due voci, automaticamente tutti i nostri messaggi verrano firmati e crittografati digitalmente. In alternativa possiamo utilizzare il metodo illustrato in fig.43. Se abbiamo seguito correttamente tutti i passaggi, quella seguente dovrebbe essere la schermata che dovremmo visualizzare. Il primo certificato nell elenco (Account di rete) è relativo al certificato di rete che gli utenti degli enti connessi alla RUPAR non avranno sulla propria smart card. (Fig.41). fig.41 26
Adesso possiamo verificare se la casella di posta elettronica che abbiamo configurato è associata ai certificati di firma e cifra presenti nella smart card (carta multiservizi) che abbiamo avuto in dotazione. Inseriamo correttamente la smart card nel lettore aspettando di visualizzare, in basso a destra del nostro monitor, l icona del regtool con l immagine del certificato. Dalla schermata principale di Outlook Express selezioniamo la voce Strumenti, clicchiamo su Account., selezioniamo la nostra casella di posta e clicchiamo sul pulsante Proprietà. Selezioniamo la cartella Protezione (Fig.42). Se il tutto funziona correttamente, nei campi che qui di sotto sono riempiti di grigio, troveremo gli identificativi dei certificati di firma e cifra. Se così non fosse possiamo cliccare sul pulsante Seleziona e andare a selezionare il certificato che precedentemente avevamo salvato sul desktop (sia per il certificato di firma che per quello di cifra). Qualora ci dovessero essere ancora dei problemi possiamo verificare che la casella di posta elettronica che abbiamo configurato sia stata scritta correttamente e che la stessa sia stata utilizzata da postecom per il rilascio della firma digitale. Quest ultimo controllo lo possiamo effettuare utilizzando il programma FirmaOk!gold, e come già sappiamo fare, ricercando il certificato di nostro interesse dalla sezione accedi al registro. Leggeremo il certificato facendo particolare attenzione alla casella di posta elettronica contenuta al suo interno per verificare se è identica a quella che abbiamo configurato. Eventuali incongruenze o anomalie dovranno essere segnalate dal Contact Center, tramite trouble ticketing, allo sportello Carta Multiservizi. fig.42 27
Possiamo, adesso, inviare messaggi di posta elettronica firmati e cifrati digitalmente. Basterà selezionare il pulsante Firma se volessimo firmare digitalmente un nostro messaggio, il pulsante Crittografia se invece lo volessimo cifrare. Cliccandoli entrambi potremo inviare un messaggio firmato e cifrato allo stesso tempo. La presenza della coccarda rossa indica che stiamo apponendo la nostra firma digitale al messaggio di posta che stiamo per inviare. La presenza di un lucchetto blu indica invece che stiamo inviando un messaggio cifrato (fig.43). Nel momento in cui daremo l invio, comparirà una finestra, uguale a quella riportata in figura 8, dove inseriremo il nostro PIN (durante questa operazione accertarsi che la carta multiservizi sia inserita correttamente nel lettore) fig.43 L immagine seguente (fig.44) ci avvisa che abbiamo appena ricevuto un messaggio di posta elettronica e che lo stesso è stato firmato digitalmente. Cliccando sul pulsante Continua visualizzeremo il messaggio che abbiamo appena ricevuto. Se volessimo evitare di visualizzare questo messaggio di avviso, ogni volta che riceviamo una email firmata digitalmente, possiamo selezionare la voce Non visualizzare più questa finestra e cliccare il pulsante Continua fig.44 28
La presenza di una coccarda rossa, nel corpo del messaggio, ci conferma che la email che abbiamo appena ricevuta è stata firmata digitalmente dal mittente.se la email inviataci fosse stata anche cifrata, con il nostro certificato, accanto alla coccarda rossa comparirebbe anche l icona di un lucchetto (Fig.45). Dopo aver letto la email selezioniamo e clicchiamo sulla coccarda rossa. fig.45 Dopo aver ciccato sulla coccarda rossa (Fig.45) passeremo all immagine seguente (Fig.46). Nel campo Firmato digitalmente da: visualizzeremo l indirizzo di posta elettronica del mittente e procediamo cliccando sul pulsante Visualizza certificati fig.46 29
Abbiamo ora la possibilità di visualizzare il certificato di firma digitale del mittente della email che abbiamo appena ricevuto. Basterà cliccare sul pulsante Certificato di firma (Fig.47). fig.47 In Fig.48 visualizziamo il certificato del mittente. Alla voce Rilasciato a: troveremo in ordine il cognome del mittente, il suo nome, il suo codice fiscale e il codice del contratto che ha sottoscritto con Postecom. Clicchiamo sul pulsante Attendibilità. fig.48 30
Perché modificare l attendibilità, del certificato digitale, del nostro mittente? Ogni volta che riceviamo una email firmata digitalmente, visualizzeremo un messaggio di protezione/avviso che ci indica che il certificato del mittente non è attendibile. Pertanto, se dal mittente in questione siamo soliti ricevere email firmate digitalmente, sarà opportuno memorizzare il mittente con la sua casella di posta elettronica nella nostra rubrica, e sulla finestra riportata sotto (Fig.49) selezionare la voce Considera il certificato attendibile. Così facendo ogni volta che riceveremo una email firmata digitalmente da un mittente, presente nella nostra rubrica, accederemo direttamente al messaggio senza più visualizzare il messaggio di protezione/avviso. fig.49 31
Per informazioni e supporto tecnico rivolgersi al: CENTRO SERVIZI REGIONALE 800.29.20.20 Email: centroservizi@regione.basilicata.it Il servizio è attivo dal Lunedì al Venerdì, dalle ore 8:00 alle ore 20:00 e il Sabato dalle ore 8:00 alle ore 14:00 32