Thwate zertifikat in Thunderbird importieren!

  • Hi The_Gost,


    na, wolln wir mal ... .
    Zum Verständnis:
    Wenn du dir online von einem Trustcenter ein Zertifikat besorgst, passiert vereinfacht folgendes:
    - dein eigener Browser (!) produziert einen geheimen Schlüssel
    - daraus wird der öffentliche Schlüssel berechnet
    - der öffentliche Schlüssel wird zusammen mit deinen Daten zum Trustcenter gesendet (Zertifikats-Request)
    - dein öffentlicher Schlüssel wird dort mit deinen Daten und den des TC zum eigentlichen Zertifikat verbunden und mit dem geh. Schl. des TC signiert.
    - selbiges bekommst du wieder zurück
    - und alles ist jetzt relativ sicher im Zertifikatsspeicher des Browsers gespeichert.


    Jetzt musst du selbiges als Datei abspeichern.
    (Da die MS-Produkte den WinDOSen-eigenen Zertifikatsspeicher benutzen, brauchst du das bei der Kombination IE und OE nicht machen. Die Mozillaprodukte benutzen jeder seinen eigenen Speicher. Also ist es hier erforderlich.)


    Du markierst also das im Browser angezeigte eigene Schlüsselpaar (erster Tab) und exportierst es in eine .p12-Datei. p12 und pfx sind Schlüsselpaare, also der geheime und der öffentl. Schlüssel. Dabei must du natürlich aufpassen, dass du auch den geh. Schl. mit exportierst (Option beim IE!). Der Inhalt ist bei den beiden gleich, nur etwas anderes Format. Mit Hilfe des IE ist auch jederzeit ein Konvertieren möglich.


    Diese Schlüsseldatei kannst du jetzt in den TB importieren:
    - Zuerst das Herausgeberzertifikat von Thawte importieren (CN = Thawte Personal Freemail Issuing CA) <== müsste es sein
    - Diesem das Vertrauen aussprechen (wichtig)
    - jetzt unter "eigene" die .p12 oder .pfx importieren
    - das wars schon. Kannst dir jetzt das Z. ansehen.


    Und jetzt musst du noch dem TB sagen, welches Zertifikat bei welchem Mailkonto zur Entschlüsselung und zur Signatur dienen soll. Wichtig: die im Z. eingetragene Mailadresse muss mit der des Kontos übereinstimmen. Sonst kommt beim Empfänger immer eine Fehlermeldung!


    Verschlüsseln:
    ... kannst du natürlich erst, wenn du die öffentlichen Schlüssel (Zertifikate) der Mailpartner hast. Oder an dich selbst ... .


    Merke:
    - Verschlüsselt wird mit dem öffentl. Schl. des Empfängers
    - Signiert wird mit dem geheimen Schlüssel des Absenders.


    Bug:
    Wenn du unter "... andere ..." ein Zertifikat importierst und diesem das Vertrauen ausgesprochen hast (wichtig !!), dann ist es beim nä. Öffnen des Z.-Speichers dort verschwunden. Du findest es unter Websites wieder. Dort musst du noch einmal das Vertrauen aussprechen. Du kannst es aber auch gleich nach Websites importieren (Vertrauen!). Das ist ein kleiner Bug, aber nur ein Schönheitsfehler.


    Dein eigenes Zertifikat wirst du dort aber nicht finden. Es muss im ersten Tab stehen! Wenn es dort nicht ist, hast du den geh. Schlüssel nicht mit exportiert.



    Ich habe es etwas ausführlich gemacht.(In der Hoffnung, dass es der nä. mit Hilfe der Suchfunktion findet ... .) Eigentlich wollte ich ja damit mal die fehlenden Punkte in der Doku füllen. Falls du Interesse an dem Entwurf dafür hast, lass es mich wissen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi,


    so wie ich beschrieben habe, werden die Zertifikate (richtiger, die Schlüsselpaare) im Browser produziert und gespeichert. Und zwar in genau dem Browser, mit welchem der Request durchgeführt wurde. Also nichts mit "importieren", zumindest nicht nach der Erstellung. Der Eintrag muss dann bereits sichtbar sein.
    Auch wenn es mir schwer fällt: Am besten eignet sich unter der WinDOSe der Internet-Explorer! Der FF kann es auch, Opera leider nicht. Der Export ist imho auch beim IE am anwenderfreundlichsten geregelt.


    p7c ist eine reine Zertifikatsdatei, also der öffentliche Schlüssel und das (Unterschrifts-)Zertifikat der signierenden CA. Schau hier: http://de.wikipedia.org/wiki/PKCS
    Du kannst diese also nie unter ... eigene importieren, es fehlt dir dein geheimer Schlüssel. ==> nur in p12 oder pfx enthalten. Du kannst es also nur als den öffentlichen Schlüsses eines Empfängers (andere ..) importieren. Allerdings gibt es auch die Möglichkeit, alles etwas zu verbiegen, und ein .pfx ohne den geheimen Schlüssel zu exportieren ... .


    Meine Empfehlung: werfe den IE an und mache das ganze noch einmal. Du kannst auch das Hamburger TC-Trustcenter dazu nutzen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Nun, dass es so funktioniert hat, wie von mir beschrieben, hat mich nicht unvorbereitet getroffen ... .


    Auch dass man immer zuerst dafür sorgen soll, dass das Herausgeber-Zertifikat vorhanden ist, habe ich erwähnt. Auch warum ... .


    Mit der Erweiterung "Cert Viewer Plus" kannst du u.a. auch Zertifikate exportieren.



    > Ich hoffe mit diesem Theard ist denjenigen geholfen, die ähnliche Probleme mit S/MIME haben.
    Könnte es evtl. sein, dass du damit etwas zu spät kommst?



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Edit am 30.03.07: Habe einen neuen Thread aufgemacht, nachdem hier der letzte Beitrag doch nicht mehr taufrisch ist. Bitte dort anworten. Danke.



    Hallo,


    und einen schönen Gruß in dieses tolle Forum!


    Ich habe mir bei http://www.thawte.com ein "Free Personal E-mail Certificate" geholt. Import in TB war problemlos, signieren und verschlüsseln an mich selbst funktioniert. Auch das Senden von signierten E-mails (nicht verschlüsselt) an andere Personen ist kein Problem.


    Folgende Fragen habe ich dennoch:

    • Die Zertifizierungsstelle "Thawte Personal Freemail Issuing CA" wurde beim Import meines persönlichen Zertifikats automatisch zu "Zertifizierungsstellen" hinzugefügt.
      Es sind keine der 3 Vertrauenseinstellungen aktiviert gewesen. Ich habe nachträglich keine Häkchen gesetzt.
      Beides steht im Gegensatz zu
      "Peter_Lehmann" schrieb:

      - Zuerst das Herausgeberzertifikat von Thawte importieren (CN = Thawte Personal Freemail Issuing CA) <== müsste es sein
      - Diesem das Vertrauen aussprechen (wichtig)


    • Warum wird in GMX Webmail die Signatur als gültig, aber unbekannt dargestellt? Liegt das daran, dass das Zertifikat nicht auf meinen Namen ausgestellt ist? Oder liegt das daran, dass GMX die Zertifizierungsstelle "Thawte Personal Freemail Issuing CA" nicht kennt? Gegen letzteres spricht, dass MS Outlook Express und MS Outlook die Signatur als gültig einstuft, da es über eine Zertifikatskette die Zertifizierungsstelle "Thawte Personal Freemail Issuing CA" als gültig erkennt, obwohl diese nicht vorinstalliert ist.


    Also nochmal zusammenfassend: Warum muss ich der "Thawte Personal Freemail Issuing CA" nicht vertrauen? Warum zeigt GMX Webmail die Signatur als unbekannt an? Ist die Theorie mit der Zertifizierungskette richtig?
    Noch eine Bitte: Vielleicht kann mir jemand mit Thawte- und jemand mit einem anderen Zertifikat eine Testmail schicken. Bitte per PN nach der Adresse fragen.


    Achso: Ist die CRL http://crl.thawte.com/ThawtePersonalFreemailIssuingCA.crl die Richtige? Welche Einstellung habt ihr bei OCSP? Hat jemand Erfahrungen mit dem OCSP Server von openvalidation.org?


    Vielen Dank für Eure Hilfe,


    wurstsemmel