Recent Changes - Search:

Main.SideBar (edit)






PmWiki

MailverschlSselung

Zertifikate für E-Mail-Verschlüsselung und -Signierung

Ein Zertifikat kann zum Signieren von Nachrichten verwendet werden:

Für den Empfang von signierten Nachrichten bestehen keine Voraussetzungen, man kann sie also an jeden senden.

Ein Zertifikat kann auch zum Senden von verschlüsselten Nachrichten verwendet werden:

Beim Erhalt einer signierten Nachricht speichert das Mail-Programm die Signatur und damit den öffentlichen Schlüssel des Senders/A. Damit ist B dann in der Lage eine (mit dem öffentlichen Schlüssel von A) verschlüsselte Nachrichten an A zu schicken. A öffnet eine verschlüsselte Nachricht mit seinem privaten Schlüssel.

Nur wer ein persönliches Zertifikat hat, kann verschlüsselte Nachrichten empfangen und entschlüsseln. Ein persönliches Zertifikat beinhaltet den privaten und den öffentlichen Schlüssel.


Schritte zur Erstellung und Verwendung eines Zertifikats:

  1. Konfigurationsdatei erstellen.

  2. Unter Verwendung der Konfigurationsdatei eine CSR-Datei (Zertifizierungsanforderung) erzeugen (Nutzungs-PW setzen /PW1).

  3. CSR zum PKI (Zertifizierungsstelle) hochladen und Zertifikatsantrag ausdrucken (Sperr-PIN wird gefragt /PW2.

  4. Ausgedruckten Zertifikatsantrag unterschreiben und persönlicher Termin mit Ausweis + Antrag bei Herrn Kolontai.

  5. Herr Kolontai autorisiert den Zertifikatsantrag.

  6. Mail vom PKI kommt, Anhang [Dateiname].pem abspeichern = öffentlicher Schlüssel / fertiges, signiertes Zertifikat.

  7. gespeichertes Zertifikat importieren.

  8. Thunderbird oder Outlook konfigurieren für die digitale Signatur bzw. Verschlüsselung

Ein Glossar zum Thema finden Sie hier


 

Konfigurationsdatei erstellen

 

Inhalt von certreq_conf.inf:

[NewRequest]
Subject = "C=DE,ST=Bayern,L=Muenchen,O=Ludwig-Maximilians-Universitaet Muenchen,OU=Institut fuer Soziologie,CN=[Vorname Nachname]"

KeySpec = 1
KeyLength = 2048
Exportable = TRUE
SMIME = TRUE
UserProtected = TRUE ;ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
;ProviderType = 12
KeyUsage = 0xa0

; Bei weiteren Namen (SANS)
[Extensions]
2.5.29.17 = "{text}email=[E-Mailadresse]"




Unter Verwendung der Konfigurationsdatei eine CSR-Datei (Zertifizierungsanforderung) erzeugen (Nutzungs-PW setzen /PW1)

 

Im Startmenü Suchfeld cmd eingeben (DOS-Befehlsfenster öffnen). hier dann folgenden Befehl eingeben:

certreq -new certreq_conf.inf certreq_meins.csr

Erläuterung:
certreq_conf.inf = vorbereitete Konfigurationsdatei (kann mit Pfad angegeben werden)
certreq_meins.csr = Zertifikatsanforderung (CSR), welche zum DFN-PKI hochgeladen wird. (Kann mit Pfad angegeben werden.)
Schlüssel landet unter "Zertifikatsanforderungen" in der Zertifikatsverwaltung (certmgr.msc).
CSR wird in Datei ausgegeben.


CSR zum PKI (Zertifizierungsstelle) hochladen


CSR-Datei unter https://pki.pca.dfn.de/uni-muenchen-ca/cgi-bin/pub/pki?cmd=pkcs10_req;id=1;menu_item=2&RA_ID=0 hochladen, Formular ausfüllen (Sperr-PIN wird gefragt /PW2) und Zertifizierungsantrag (PDF) abspeichern und ausdrucken.


Ausgedruckten Zertifikatsantrag unterschreiben

 

Termin bei Herrn Kolontai vereinbaren. Mit ausgedrucktem und unterschriebenem Zertifikatsantrag + Ausweis zu Herrn Kolontai gehen:

Andrej Kolontai
Ludwig-Maximilians-Universität München
Ref. VI.4 (IT-Sicherheit & Verzeichnisdienste)
Martiusstrasse 4 / 207
80802 Muenchen
phone +49 (0)89 2180-3815

Gespeichertes Zertifikat importieren

 

Wenn Sie die Mail mit dem signierten öffentlichen Zertifikat erhalten, speichern Sie dieses ab und importieren es in die Windows-Zertifikatsverwaltung.

Im Startmenü Suchfeld cmd eingeben (DOS-Befehlsfenster öffnen). Befehl:

certreq -accept cert.pem

Thunderbird oder Outlook konfigurieren für die digitale Signatur bzw. Verschlüsselung

Thunderbird

Wichtiger Hinweis:
Wenn in Thunderbird ein Zertifikat verwendet und daher importiert wird, ist es dringend geraten ein Master-Passwort auf Thunderbird zu setzen, weil sonst der Zugang zum Zertifikat zu leicht möglich ist (auch für Trojaner-programme). Thunderbird fragt nicht nach dem Nutzerpasswort bei der Verwendung.


Dafür Zertifikat exportieren

Thunderbird greift nicht auf den Windows Zertifikatsspeicher zu, deshalb muss zuerst das Zertifikat exportiert werden, um es dann in Thunderbird importieren zu können.

  • certmgr.msc öffnen (Suchfeld im Startmenü)
  • Zu Eigene Zertifikate - Zertifikate navigieren und mit Rechtsklick - Alle Aufgaben - Exportieren das eigene Zertifikat exportieren und im Wizard folgende Einstellungen verwenden:
    • privaten Schlüssel mit exportieren
    • alle Zertifikate einbeziehen und erweiterte Eigenschaften exportieren
    • mit Kennwort schützen (merken" Wird zum Import gebraucht)
    • beliebigen Dateinamen auswählen
    • Fertigstellen drücken und PW1 für das Zertifikat eingeben (Nutzungs-PW für privaten Schlüssel)

Zertifikat in Thunderbird importieren und digitale Signatur einstellen

Das exportierte Zertifikat muss jetzt in Thunderbird importiert werden und als Signatur- und Verschlüsselungszertifikat eingerichtet werden.

  • Konto-Einstellungen bearbeiten
  • Eintrag S/MIME-Sicherheit auswählen
    • Zertifikate verwalten -> Importieren -> DAtei wählen -> Transportpasswort eingeben
    • Bei Digitale Unterschrift -> Auswählen.. Zertifikat wählen
    • Wahlweise den Haken bei Nachrichten digital unterschreiben (als Standard) setzen.

Beim Schreiben von E-Mails kann jetzt beim Dropdown-Menü S/MIME ausgewählt werden, ob signiert oder verschlüsselt werden soll.


In Outlook digitale Signatur einstellen

Die Signatur muss nicht importiert werden, Outlook greift auf die von Windows gespeicherte Signatur zu.

  • Klicken Sie auf die Registrierkarte Datei.
  • Klicken Sie auf Optionen.
  • Klicken Sie auf Trust-Center.
  • Klicken Sie auf E-Mail-Sicherheit.
  • Aktivieren Sie unter Verschlüsselte E-Mail-Nachrichten das Kontrollkästchen Ausgehenden Nachrichten digitale Signatur hinzufügen.

 

Glossar

 

CSR
Certificate Signing Request, deutsch „Zertifikatsregistrierungsanforderung“. Ein CSR enthält neben dem öffentlichen Schlüssels weitere Angaben über das gewünschte Zertifikat. Hierzu gehören vor allen ein CommonName (der Domainname) und der Name sowie die Anschrift des Antragstellers.

DFN-PKI
Der DFN-Verein organisiert mit dem Dienst DFN-PKI eine Public Key Infrastruktur, um digitale Zertifikate auszustellen, zu verteilen und zu prüfen. https://pki.pca.dfn.de/uni-muenchen-ca/cgi-bin/pub/pki?cmd=pkcs10_req;id=1;menu_item=2&RA_ID=0

certmgr.msc / Zertifikatsverwaltung unter Windows
Aufruf im Startmenü Suchfeld mit certmgr.msc (Anfang des Namens reicht i.d.R. wegen Vervollständigungsfunktion)

Nutzungs-Passwort/PW1
Dieses Passwort braucht man bei jedem Zugriff auf den privaten Schlüssel. Zum Beispiel:

  • beim Export des Zertifikats
  • beim Import des Zertifikats in Thunderbird einmalig für die Nutzung
  • bei der Nutzung in Outlook nach Öffnen von Outlook einmalig (aber jedes Mal wieder).

Sperr-PIN (PW2)
Passwort zum Sperren des Zertifikats, falls es nicht mehr benötigt wird oder aus irgendeinem Grund für ungültig erklärt werden soll.

Edit - History - Print - Recent Changes - Search
Page last modified on November 13, 2018, at 02:55 PM