In dieser 4-teiligen Serie geht es um das Signieren und Verschlüsseln von E-Mails nach dem S/MIME-Standard.
Teil 3: Wie kann man einen Mail-Client für ein bestimmtes Zertifikat konfigurieren?
In Teil 2 der Serie ging es darum, wie man als Privatnutzer kostenlos an ein Zertifikat kommt. Jetzt ist nur noch ein Arbeitsschritt nötig, wenn man das Zertifikat für sichere E-Mail-Kommunikation nutzen möchte: Man muss das Zertifikat aus dem Speicher des Browsers exportieren, lokal speichern und anschließend in den Zertifikatsspeicher des E-Mail-Clients importieren. Das erledigt man mit wenigen Mausklicks. Die folgende Anleitung bezieht sich auf ein Class-1-Zertifikat von Comodo und auf aktuelle Versionen von Firefox
und Thunderbird. Für andere Browser bzw. Clients sind über eine Google-Suche leicht die passenden Schritt-für-Schritt-Anleitungen zu
finden.
Zertifikat aus dem Firefox-Zertifikatsspeicher exportieren:
- Bearbeiten – Einstellungen – Erweitert – Zertifikate anzeigen
- Reiter „Ihre Zertifikate“ – Zertifikat auswählen (z. B. ‘s COMODO CA Limited ID) – Sichern…
- Lokalen Speicherort für das Zertifikat und Dateinamen (frei wählbar)
festlegen – Speichern - Sicheres Passwort (bzw. Passphrase, erfahre mehr) festlegen – OK.
Die auf diese Weise gespeicherte Datei ist das „Zertifikatbackup“. - Sicherheitskopien des Zertifikatbackups anlegen (erfahre mehr). Wichtig: auch für abgelaufene Zertifikate sollte man die passenden Zertifikatsbackups unbedingt langfristig aufbewahren – sie werden gebraucht, um alte verschlüsselte E-Mails zu öffnen!
Zertifikat in den Thunderbird-Zertifikatsspeicher importieren:
- (Falls noch nicht geschehen) Master-Passwort für Thunderbird festlegen: Bearbeiten – Einstellungen – Sicherheit – Passwörter – Häkchen bei „Master-Passwort verwenden“ setzen – Passwort (bzw. Passphrase, erfahre mehr) festlegen – OK
- Bearbeiten – Konten-Einstellungen – S/MIME-Sicherheit – Zertifikate verwalten
- Reiter „Ihre Zertifikate“ – Importieren… – Master-Passwort für Thunderbird („Master-Passwort für das Software-Sicherheitsmodul“) eingeben – zuvor (s. o.) selbst festgelegtes Passwort (bzw. Passphrase) für den Zugriff auf das Zertifikatbackup eingeben – OK
- Zurück in den Konten-Einstellungen – S/MIME-Sicherheit: Digitale Unterschrift – Auswählen… – Im Drop-down-Menü das soeben importierte Zertifikat auswählen – OK
- Es erscheint die Frage, ob man das gleiche Zertifikat auch für die Verschlüsselung benutzen möchte – Ja
- Im Feld „Digitale Unterschrift“ Häkchen setzen bei „Nachrichten digital unterschreiben (als Standard)“
Fertig! Die Karte S/Mime-Sicherheit in den Konten-Einstellungen müsste jetzt etwa so aussehen:Bei diesen Einstellungen werden alle Nachrichten, die man verschickt, mit dem S/MIME-Zertifikat signiert. Die Empfänger dieser Nachrichten können aus diesen signierten E-Mails den öffentlichen Schlüssel entnehmen und ihn verwenden, um Nachrichten zu verschlüsseln. Die meisten Mail-Clients tun dies automatisch. In Outlook muss man den Schlüssel allerdings manuell importieren.
In vierten und letzten Teil der Serie stelle ich die wichtigsten Unterschiede zwischen den beiden Standards S/MIME und PGP gegenüber. Auf dieser Grundlage versuche ich ein Fazit zum Thema E-Mail-Verschlüsselung zu ziehen. Lies hier weiter.
Wie sind Deine Erfahrungen mit S/MIME? Hinterlass einen Kommentar!
Findest Du diesen Beitrag interessant?
→ Unterstütze diese Seite mit einer Spende (klicke oben rechts auf „Donate“)
→ Folge mir auf Twitter (@JochenPlikat) oder abonniere neue Beiträge als E-Mail (klicke oben rechts auf „Folgen“)
→ Teile den Beitrag mit Deinen Freunden (klicke unten auf einen der Buttons)
Sichere E-Mails mit S/MIME (3/4) by Jochen Plikat is licensed under CC BY-NC-ND 4.0.
Bildnachweis: Candado by Paco Rives Manresa is licensed under CC BY-SA 2.0.
Hallo!
Leider habe ich wiederholte Schwierigkeiten beikm vorletzten Schritt. Es erscheint die Meldung:
Zertifikat-Manager kann kein gültiges Zertifikat finden, das verwendet werden kann, um Ihre Nachrichten mit der Adresse digital zu unterschreiben.
Was kann ich tun damit das klappt?
Vielen herzlichen Dank!
Hallo Simone, wichtig ist natürlich, dass im Thunderbird-Zertifikatsmanager überhaupt ein Zertifikat für Deine E-Mail-Adresse vorhanden ist. Aber ich nehme an das hast Du beachtet. Außerdem muss die E-Mail-Adresse, für die das Zertifikat ausgestellt wurde, mit der des Kontos übereinstimmen, von dem Du die digital signierte E-Mail verschicken willst. Außerdem muss das Zertifikat auch unter Kontoeinstellungen – S/MIME-Sicherheit ausgewählt sein (vgl. Screenshot): https://de.owncube.com/index.php/s/y8hhNtqxvauq7DR
Ich habe mich jetzt auf Thunderbird bezogen, aber das Prinzip ist in allen E-Mail-Programmen gleich.
Viel Glück und ich freue mich über eine kurze Rückmeldung, sobald es klappt!
Lieber Jochen,
bis zum Download von dem Zertifikat komme ich auch, wenn ich dann unter “Ihre Zertifikate – Importieren” die Datei “CollectCCC.p7s” importieren möchte funktioniert dies nicht. Wenn ich unter Format “Alle Dateien” wähle kann ich die Datei zwar auswählen, muss aber zwei Passwörter eingeben. Einmal das Master-Passwort für das Software-Sicherheitsmodul (dass ich soeben festgelegt habe) und danach ein Passwort, dass zur Verschlüsselung dieses Zertifikatsbackups verwendet wurde. Danach folgt lediglich die Fehlermeldung “Die PKCS#12-Operation ist aus unbekannten Gründen fehlgeschlagen”.
Das Zertifikat wird lediglich unter Schlüsselbundverwaltung in öffentlicher und privater Schlüssel gespeichert.
Hast du eine Idee woran das liegen kann?
Ich nutze Safari als Explorer und Thunderbird für meine Mails.
Das Musterpasswort habe ich bereits festgelegt.
Viele Grüße
Ricarda Victoria
Dankeschön!
Lieber Jochen,
bis zum Download von dem Zertifikat komme ich auch, wenn ich dann unter “Ihre Zertifikate – Importieren” die Datei “CollectCCC.p7s” importieren möchte funktioniert dies nicht. Wenn ich unter Format “Alle Dateien” wähle kann ich die Datei zwar auswählen, muss aber zwei Passwörter eingeben. Einmal das Master-Passwort für das Software-Sicherheitsmodul (dass ich soeben festgelegt habe) und danach ein Passwort, dass zur Verschlüsselung dieses Zertifikatsbackups verwendet wurde. Danach folgt lediglich die Fehlermeldung “Die PKCS#12-Operation ist aus unbekannten Gründen fehlgeschlagen”.
Das Zertifikat wird lediglich unter Schlüsselbundverwaltung in öffentlicher und privater Schlüssel gespeichert.
Hast du eine Idee woran das liegen kann?
Ich nutze Safari als Explorer und Thunderbird für meine Mails.
Das Musterpasswort habe ich bereits festgelegt.
Viele Grüße und bereits Dankeschön im Voraus
Ricarda Victoria
Hallo Ricarda, das Zertifikat, dass Du im Browser erzeugst und dann von dort aus mit einem selbst gewählten Passwort sicherst, müsste eigentlich die Endung .p12 haben. Diese Datei müsste sich dann auch problemlos in Thunderbird (nach Eingabe des Master-Passworts und der Zertifikatbackup-Passworts, wie Du es ja richtig versucht hast) importieren lassen. Ich habe das ganze bei mir mit Firefox und einem Comodo-Zertifikat durchgespielt, mit Safari habe ich leider keine Erfahrung. Wenn Du mit Safari nicht weiterkommst, probier also evtl. mal Firefox aus, den Browser gibt’s ja ebenfalls zum kostenlosen Download. Viele Grüße!