Import von Zertifikat - Fehlermeldung

  • Hallo,


    ich bin neu hier und habe eine Frage zu dem Import eines Zertifikats.


    Ich benutze Mozilla Thunderbird Version 2.0.0.4 (mit Enigmail 0.95.2) und erhalte folgende Warnung, wenn ich ein Zertifikat mit der Endung ".cer" unter


    "Extras->Einstellungen->Erweitert->Zertifikate->Zertifikate->Zertifikate anderer Personen->Importieren"


    einlade:


    "Das Zertifikat kann nicht erfolgreich überprüft werden und wird daher nicht importiert. Es könnte sein, dass der Herausgeber des Zertifikats unbekannt ist, ihm nicht vertraut wird, das Zertifikat abgelaufen ist, zurückgerufen wurde oder nicht anerkannt wurde."


    Ich kann diese Warnung nur mit "ok" abschließen, worauf das Zertifikat nicht importiert wird.


    Problem: Ich vertraue dem Zertifikat, weiß aber nicht, wie ich dies Thunderbird mitteilen soll.


    Wenn ich dieses Zertifikat z.B. Netscape 7.1 importiere, wird zwar darauf hingewiesen, dass der Aussteller (des Zertifikats) unbekannt sei, allerdings kann ich "manuell" auf die Echtheit des Zertifikats vertrauen, sodass das Zertifikat dennoch zugelassen wird.


    Gibt es ähnliche Möglichkeiten auch in Thunderbird, sodass ich das Zertifikat zwangsweise für zulässig erklären lassen kann?

  • Hi Bossi,


    und willkommen im Forum.
    Du willst also einen öffentlichen Schlüssel mit X.509-Zertifikat importieren.
    Mein Geschreibsel im Wiki dazu hast du schon gelesen?


    Das Prinzip bei der Nutzung von X.509-Zertifikaten besteht darin, dass du zuerst (!) dem jeweiligen Herausgeber des Zertifikates ("Trustcenter" oder "CA" genannt) vertrauen musst. Dazu muss das entsprechende root-Zertifikat des Herausgebers importiert sein. Dann kannst du mittels "Bearbeiten" das Vertrauen einstellen.
    Jetzt sind wohl schon sehr viele Herausgeberzertifikate von Hause aus installiert, aber nicht alle. Die Fehlermeldung (sehr gut ...) sagt mir, dass für deinen Herausgeber dieses eben nicht zutrifft.


    Im TB ist im Übrigen noch ein kleiner unbedeutender Bug drin: die importierten Zertifikate für die Mailpartner findest du nach dem Einstellen des Vertrauens nicht unter "andere ...", sondern unter "Websites". Und dort musst du noch einmal das Vertrauen einstellen. Besser gleich nach "Websites" importieren. Spart Arbeit. Ist allerdings nur ein "Schönheitsfehler" ohne jede Funktionseinschränkung.
    (Aber auch das steht im Wiki ...)



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    ich habe inzwischen einen öffentlichen Schlüssel von demjenigen erhalten, der mir das Zertifikat zugesendet hat. Diesen Schlüssel konnte ich in Thunderbird ohne Probleme in den Schlüsselbund aufnehmen, unterschreiben und vertrauen.


    Danach habe ich erst Deine Antwort gelesen und in Thunderbird das Zertifikat unter "Websites" eingeladen. Auch dies funktionierte und ich konnte der Echtheit des Zertifikats vertrauen.


    Vielen Dank für die schnelle Antwort.


    MfG
    Bossi

  • Hi Bossi,


    freut mich, dass es jetzt funktioniert.
    Du solltest dich aber noch mal mit den Begriffen auseinandersetzen.
    Das Zertifikat (X.509-Z.) beinhaltet den öffentlichen Schlüssel des Inhabers, ergänzt mit den Zertifikatsdaten (Name, Mailadresse, Gültigkeit, dem Herausgeber, Verwendungszweck usw.). Und der Hashwert des Ganzen wurde mit dem geheimen Schlüssel des Herausgebers signiert. Mitunter ist sogar noch der öffentliche Schlüssel des H. mit drin.
    Abgespeichert wird dieses Zertifikat als .cer, .der oder in anderen Formaten.


    Gleiches trifft für das (root-) Zertifikat des Herausgebers zu. Inhalt fast identisch. Ebenso das Format. Nur die Verwendung ist eben nicht für (Mail-) Verschlüsselung und -Signatur geeignet.


    Etwas anderes ist die "Schlüsseldatei". Diese beinhaltet neben den o.g. Daten noch deinen eigenen privaten Schlüssel, ist in der Regel mit einem Passwort verschlüsselt und als .p12 oder .pfx codiert.


    War nur mal so eine kleine Ergänzung, denn manche können nicht zwischen beiden unterscheiden und nennen alles "Zertifikat"... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!