problem beim signieren mit dem zertifikat

  • hallo,


    ich wollte endlich mal bisl signieren (und verschluesseln) ausprobieren, hab nach der hier beschriebenen anleitung http://www.thunderbird-mail.de…l%C3%BCsselung_mit_S/MIME alles gemacht (denke ich), aber es klappt nicht.
    ich habe
    1) mein zertifikat beim trustcenter beantragt
    2) mail bestaetigt
    3) zertifikat im ff erzeugt
    4) zertifikat exportiert
    5) root zertifikat vom trustcenter runtergeladen
    6) beide zertifikate in tb importiert
    7) root zertifikat vertraut
    8) entsprechendes mail-konto auf signieren/verschluesseln eingestellt


    A) wenn ich jetzt "unterschriebene nachricht" an eine meiner anderen adresses verschicken will, dann gibs folgenden fehler:
    "Senden der Nachricht fehlgeschlagen. Kann Nachricht nicht signieren. Bitte überprüfen Sie, ob die Zertifikate, die für dieses Konto in den Konten-Einstellungen angegeben sind, gültig und vertrauenswürdig sind"


    wenn ich bei der nachricht, die ich senden wollte auf "S/MIME" und dann auf "Sicherheitsinformationen anzeigen" klicke, dann steht da bei Zertifikate:
    empfaenger - die empfaenger-adresse, status - "nicht gefun...", usw...



    B) etwas anderer fall: wenn ich jetzt eine signierte mail an die sendende adresse schicke, dann steht dort unter "Sicherheitsinformationen anzeigen", bei der adresse, an die (und ueber die ich ja auch) sende:
    status - "nicht vertra...". bei "herausgegeben am" und "läuft ab" stehen die korrekten daten (is also gültig).
    lasse ich mir das zert. dann von dort aus anzeigen, dann lese ich "Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden".



    aber ich habe doch schon dem root-zert. vertraut.
    hab ich irgnwas falsch gemacht?


    ich hoffe, das war nicht zuviel text und genuegend info, um mir weiterzuhelfen. schonmal danke.


    meine tb-version: 2.0.0.9 (20071031)

  • Hi gaga3000,


    und willkommen im Forum.
    Na, dann wollen wir die Sache mal aufdröseln.
    Wie ich feststelle, hast du meine Anleitung ja der Reihe nach abgearbeitet. Aber mitunter steckt der Teufel in den Kleinigkeiten ... .


    1. Du hast wirklich das "class-1"-Zertifikat vom TC importiert => noch mal prüfen.
    2. Die aus dem Firefox exportierte Schlüsseldatei ist eine .p12 oder .pfx? Du kannst das dazugehörige Zertifikat ansehen. Ist dort wirklich alles korrekt eingetragen. cn, Mailadresse usw.
    3. Wenn die Schlüsseldatei in den Zertifikatsmanager des TB importiert wurde, muss dort unter "Eigene ..." das Zertifikat ebenfalls zu sehen sein. Dort noch einmal alles genau überprüfen.
    4. In den Konteneinstellungen muss unter S/MIME nach der richtigen Einstellung 2x zu sehen sein. Das Signieren kannst du als Standard festlegen.


    Wenn du das alles überprüft hast, dann teste mit einer signierten und einer verschlüsselten Mail an dich selbst. Das muss dann funktionieren.


    Noch zu Punkt 2: Nicht, dass du nur das Zertifikat (.cer oder .der) importiert hast! Ist dir der Unterschied zwischen "Zertifikat" und "Schlüsseldatei" klar?!?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • hallo,


    danke fuer die schnelle antwort.


    1) hab ich. ist eins von 3 zertifikaten bei zertifizierungsstellen. ich hab die hier importiert: http://www.trustcenter.de/cert…cacerts/tcclass1-2011.der
    2) hab eine "gi_gaga3000_googlemail.p12" importiert. mailadresse stimmt.
    cn (gi) hab ich einfach irgnwas eingetragen gehabt. mit was muss das uebereinstimmen?
    3) mein zertifikat ist im tb das einzige unter "ihre zertifikate". dort hab ichs ja auch importiert. mailadresse stimmt. cn ist "G I", sowas hab ich bei googlemail/tb nirgendwo angeben koenne, oder?
    4) was meinst du mit

    Zitat

    2x zu sehen sein

    ?
    bei meinem (zertifizierten) tb-konto kann ich unter "S/MIME-Sicherheit" bei "digitale unterschrift" und "verschluesselung" jeweils ein (das) zertifikat auswaehlen, fuer die korrekte mail-adresse.


    den test hab ich schon hinter mir. das war ja punkt B) meines vor-posts.


    also, da du cn erwaehnt hast... kann es damit zusammenhaengen, das ich da bei der zertifikatsausstellung irgnwas angegeben hab? was gehoert da rein? mein namen wollte ich nicht angeben. bei googlemail gibs auch kein cn-feld sondern nur vor-, nach- und kurzname. muss ich da die CN-angabe irgendwo eintragen oder in tb?

  • Hi,


    Ok, hast also das richtige Herausgeber-Zertifikat importiert und auch die komplette Schlüsseldatei übernommen.


    Der cn muss dem in den Kontoeinstellungen eingetragenen Benutzernamen entsprechen. Trage dort mal "gi" ein.
    Der Sinn und Zweck der elektronischen Signatur ist ja gerade, dass man sich dem Empfänger gegenüber mit seiner digitalen Identität ausweist. Bei den Class1-Zertifikaten ist das natürlich ein Witz, und bei gmail würde ich auch nie meinen richtigen Namen angeben ... .
    Wenn du mir per PN die Angaben sendest, unter denen du dein Zertifikat beantragt hast, dann kann ich mir das Z. ansehen und dir auch testweise eine signierte und eine verschlüsselte Mail senden.


    "2x zu sehen": hast du schon genau richtig beschrieben.


    Nebenbei: Bemühe dich um Verwendung der Shifttaste. Das Lesen durchweg klein geschriebenen Textes regt nicht zur Mitarbeit an.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Also... zusammen mit Peter geloest. Wichtig ist Uebereinstimmung von "CN" im Zertifikat und "Ihr Name" in Thunderbird.
    Nochmal lieben Dank!!!


    PS: Ich weiss leider nicht, wo man den den Thread als geloest markiert...

  • Hmm ich habe irgendwie das gleiche Problem wie hier beschrieben.


    Allerdings funktioniert es auch nach Kontrolle aller hier angeführten Punkte nicht.


    Deswegen hab ich noch eine zusätzliche Frage. Ich wollte das ganze für ein IMAP Konto benutzen. In dem Konto benutze ich allerdings mehrere eMail Adressen zum Versenden (über weitere Identitäten). Bei S/MIME kann ich aber nur ein Zertifikat auswählen. Gilt dieses Zertifikat dann für alle eMail Adressen bei Identitäten und funktioniert deswegen nicht?

  • Hi Neela,


    die X.509-Spezifikation gibt es zwar her, dass in einem Zertifikat mehrere Mailadressen als Alternative-Subject-Name eingetragen werden können, aber ich kenne keinen MUA, welcher damit richtig umgehen kann.
    Es passiert also (fast) immer, dass die Zertifikatsprüfung der Gegenstelle eine Warnung herausgibt (Mailadrresse stimmt nicht überein ...). Und das ist auch gut und richtig so. Eine Signaturprüfung muss eben exakt sein.


    Beim TB ist es so, dass du nur ein einziges Zertifikat pro Konto eintragen kannst. Also genau so, wie du auch festgestellt hast. Aber was nutzen dir die anderen Identitäten, wenn der Wissende aus deinem Zertifikat sämtliche Mailadressen herauslesen kann :-) ?


    In der (professionellen) Praxis hat eben jeder nur eine Mailadresse und ein einziges (recht teueres) Zertifikat. Deshalb ist das da auch kaum relevant. Ich kann mich auch noch an keinen einzigen Fall erinnern, dass wir mal eine zweite Mailadresse in einem Zertifikat eingetragen hätten.


    MfG Peter (ja, ich bin noch so altmodisch und schreibe einen Gruß unter meine Beiträge ...)

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • konnichiwa Lehmann-san


    Das is ja alles schön und gut, aber irgendwie so die direkte Antwort lässt sich für mich daraus ableiten wie folgt.


    "Nein, das geht nicht, und wenn du mehrere eMail Adressen nutzen willst, dann musst du für jede ein eigenes Konto anlegen und jeder ein eigenes Zertifikat geben."


    Nun ja vielleicht funktioniert das ja in v3, dass man für die Identitäten eigene Zertifikate zuweisen kann oder man sagt TB halt, dass es das Zertifikat nur für die Hauptadresse nutzen will. Denn so wie's jetzt ist funktionierts ja gar nicht und für jede ein extra Konto anlegen is mir auch zu doof.


    Eine Alternative wäre wohl Enigmail, allerdings hat kaum jemand so ein PGP Programm installiert und die bekommen dann immer nur einen tollen Anhang mit dem sie nix anfangen können. Da finde ich die S/MIME Lösung schon irgendwie praktischer, weil sie in vielen Mailprogrammen schon integriert ist.


    Nun ja dann lebe ich halt auch noch ohne Unterschrift ;) Wär für meinen Gebrauch wohl eh eher nur ein Gimmick und nicht unbedingt nötig.


    lg Neela (man muss nicht altmodisch sein um das zu tun, nur könnte man jetzt darüber philosophieren in wie weit solch eine Formel noch Bedeutung hat. Unter persönlichen Briefen wohl schon eher als in solch einem tollen Forenpost. Am besten ist es in eMails bei denen die Grußformel als Signatur angehängt und nichtmal mehr selbst getippt wird (oder stimmt ja, genau einmal). Aber wenn es mich etwas persönlicher wirken lässt dann stört es mich auch nicht das noch dran zu setzen.)

  • Ich muss diesen Thread mal hoch holen... TB 2.0.0.19 unter WinXP


    Ich habe genau das Problem, das gaga3000 hatte, komme aber nicht zur Lösung. Name und Mailadresse im Zertifikat und in TB stimmen exakt überein, beide Zertifikate (Trustcenter Class1 root und meines) sind importiert und in TB sichtbar, beim Mailkonto ist für's Signieren und für die Verschlüsselung mein Zertifikat eingetragen, und dennoch bekomme ich diese Meldung. Auch dann, wenn ich mir selbst eine Mail schicken will.


    Wo kann ich noch nachsehen, was ich falsch gemacht haben könnte?

  • Hallo u063096,


    und *Willkommen* im Forum! ;)


    Es ist *ungünstig* sich an alte Threads dranzuhängen (IMHO eine Unsitte). ~ In der Regel ignoriere ich solche postings {in meiner arrogant, verwerflichen Art :D }


    Bitte doch einen Moderator via PN Dein Posting abzutrennen und in einem neuen Thread zu fassen.


    Denn: Wahrscheinlich hast Du nicht das Problem von gaga3000; sonst könntest du es ja anhand der Beschreibung lösen! ;)

    Zitat von "u063096"

    ... und dennoch bekomme ich diese Meldung. Auch dann, wenn ich mir selbst eine Mail schicken will.


    Dann ! welche! Meldung erhältst Du denn? ..." ..., status - "nicht gefun...", usw... | "Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden". ..." :?:


    Hast Du auch Punkt für Punkt Peter_Lehmanns {unser *absoluter* Fachmann auf diesem Gebiet! :flehan: } Liste abgearbeitet?


    Hast Du dies: 'Wichtig ist Übereinstimmung von "CN" im Zertifikat und "Ihr Name" in Thunderbird.' beachtet?


    Löblich ist es, daß Du schon *selbst* darauf gekommen bist Dir selber mails verschlüsselt zu senden. :top:
    Was steht da dann in den Sicherheitsinformationen von S/MIME?


    MfG ... Vic


  • Danke für das "Willkommen". In anderen Foren ist es oft umgekehrt: "Warum hast Du nicht die Suche benutzt - da gibt es doch schon einen Thread zu?". Sorry.

    Zitat von "Vic~"


    Denn: Wahrscheinlich hast Du nicht das Problem von gaga3000; sonst könntest du es ja anhand der Beschreibung lösen! ;)


    Dann ! welche! Meldung erhältst Du denn? ..." ..., status - "nicht gefun...", usw... | "Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden". ..." :?:


    Senden der Nachricht fehlgeschlagen. Kann Nachricht nicht signieren. Bitte überprüfen Sie, ob die Zertifikate, die für dieses Konto in den Konten-Einstellungen angegeben sind, gültig und vertrauenswürdig sind

    Zitat von "Vic~"


    Hast Du auch Punkt für Punkt Peter_Lehmanns {unser *absoluter* Fachmann auf diesem Gebiet! :flehan: } Liste abgearbeitet?


    Ja, ich denke schon.

    Zitat von "Vic~"


    Hast Du dies: 'Wichtig ist Übereinstimmung von "CN" im Zertifikat und "Ihr Name" in Thunderbird.' beachtet?


    Ja. Ist identisch.

    Zitat von "Vic~"


    Löblich ist es, daß Du schon *selbst* darauf gekommen bist Dir selber mails verschlüsselt zu senden. :top:
    Was steht da dann in den Sicherheitsinformationen von S/MIME?


    MfG ... Vic


    Die Daten stimmen soweit, oben drüber in den Details steht aber "Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden".

  • Hallo zusammen,


    Muss mich jetzt leider hier auch noch an den Thread hängen und hoffe das ich deshalb nicht den Kopf abgerissen bekomme, aber habe genau das gleiche Problem wie u063069.
    Habe alle Step wie von Peter Lehmann beschrieben (meiner Ansicht nach Fehlerfrei) durchgeführt.
    Dennoch klappt der Test mit Mail an mich selber leider nicht.
    Mein Kontoname enspricht dem CN des Zertifikats. Mein Problem ist das von mir beantragte Zertifikat beim anschauen mit der Meldung angezeigt wird: " Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden"
    Ich habe wirklich keine Ahnung warum. Habe meiner Meinung nach alles Sorgfältig installiert.
    Auch das von TC geladene Root Zertifikat wird nur mit dieser Meldung angezeigt. Und zwar sowohl im TB als auch im meinem Firefox.
    Wird Dir U063096 (schwerer Tippname :-)) eventuell auch die gleiche Meldung angezeigt?
    Kann mir irgendwer noch einen Tipp geben wo ich nochmal schauen sollte ? Bin mir wirklich keiner Schuld bewusst.


    Gruß und schon mal vielen Dank im Voraus.
    Blue


    P.S. Meine TB Version ist 2.0.0.19

  • Zitat von "Mr.Blue"

    " Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden" ...
    auch ... geladene Root Zertifikat wird nur mit dieser Meldung angezeigt. Und zwar sowohl im TB als auch im meinem Firefox.


    Hallo Blue,


    IMHO liegt da schon das Problem. Wenn's im FF nicht valide ist, wie soll es dann klappen?


    MfG ... Vic


    Am neuen FF scheint es nicht zu liegen, hab's gerade mal ausprobiert. :nixweiss:

  • Hallo Vic,


    Danke schon mal für die schnelle Antwort.


    Genau das ist mir auch klar. Ich frage mich nur warum mein Zertifikat was ich von der TC Seite bekommen habe
    http://www.trustcenter.de/media/tcclass1-2010.cer
    mit nicht Verifiziert werden kann (Meldung: Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden).
    Das kann ja nur an meinen Systemsettings liegen (Arbeite auf einem Fedora 10 System).
    Verstehe halt überhaupt nicht woran es liegen kann das dass TC Root Zertifikat als nicht Valide angesehen wird.


    Gruß
    Blue

  • Hi Blue,


    ich kann mich und Vic~ immer nur wiederholen.
    Wenn die so genannte Vertrauenskette nicht aufgebaut werden kann, wird das Endnuterzzertifikat nicht als vertrauenswürdig anerkannt. Das ist eben das oberste Prinzip bei der Verwendung von X.509-Zertifikaten.


    Schaue dir dein eigenes Zertifikat genau an. Darin ist ein Verweis auf das übergeordnete Z. enthalten und mit Zertifikatsnummer und ID genau definiert. Jetzt musst du unter den Herausgeberzertifikaten suchen, ob du genau dieses importiert hast. Also wirklich Nummer und ID überprüfen, Vertrauen einstellen. Auch dieses Z. (es ist ja nur das Herausgeberzertifikat für die Kostnix-Werbe-Zertifikate) hat ein übergeordnetes Zertifikat. Also noch einmal wie oben beschrieben, verfahren.


    Und noch was:
    Mir ist seit gestern aufgefallen, dass auch ich Probleme mit S/MIME unter Linux habe!
    Ich hatte das vor einigen Monaten schon mal, unter Linux konnte ich keine neuen Zertifikate und Schlüssel hinzufügen, auf der WinDOSe ging es problemlos. Wie gesagt, das fiel mir gestern Abend auf und ich will mich heute mal genau darum kümmern. Vielleicht ist mein Problem auch dein Problem ... .


    MfG Peter


    ERGÄNZUNG:
    Das o.g. Problem ist gelöst!
    Es wurde verursacht durch die Erweiterung "Mail Tweak". Selbige ist wohl sehr umfangreich und hat einiges durcheinandergebracht. Ich habe die dt. Version 0.16 deinstalliert und alles funktionierte wieder. Auch nach Installation der (engl.) v 1.0pre2 funktioniert es noch.
    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo zusammen,


    Tja ihr hattet natürlich recht...das Problem war mal wieder vor der Tastatur zu finden :-))
    Aber der Tipp war trotzdem gut die Vertrauenskette zurückzuverfolgen.
    Hatte mir das falsche Root Z reingehauen (das unter dem Link).


    Jetzt passt es.


    Vielen Dank nochmal für die kompetente Hilfe.


    Gruß
    Blue

  • Vielen Dank für die Rückmeldung.
    Aber mach dir nichts draus, das ist der Fehler, der bei 80% der Anwender (mit Problemen) vorkommt.


    Ich (in meiner Privat-CA) und wir (auf Arbeit in einem Trustcenter) machen das so, dass wir grundsätzlich in eine Schlüsseldatei (.pfx/.p12) oder auf die Chipkarte den vollständigen Zertifikatsbaum unterbringen.
    Also, wenn ich eine .pfx importiere, dann sind die Herausgeberzertifikate gleich mit installiert und der Nutzer muss nur noch das Vertrauen einstellen. Und da erfolgt beim Thunderbird auch gleich noch die automatische Abfrage. So passiert das nicht ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Auch ich habe mein Problem gefunden: mir war entgangen, dass es bei Trustcenter mehrere Class 1-Zertifikate gibt. Ich hätte das mit einer "VI" am Ende gebraucht, hatte aber das mit der "I" importiert. Jetzt geht es - Danke für die Denkhilfe! :)