Root-Zertifikate automatisiert importieren?

  • Hallo liebe Thunderbird-User :-)


    die Frage ist aus sicherheitspolitischer Sicht sicher bedenktlich, aber gibt es eine Möglichkeit Root-Zertifikate automatisch in ein Profil einzubinden? Der Zertifikatsspeicher lässt sich von außen sicher nicht ohne weiteres bearbeiten, oder? :freak:


    Grüße, ladiko

  • Hi ladiko,


    ich verstehe zwar nicht allzu viel von Sicherheitspolitik :-), aber schau mal hier:
    http://www.thunderbird-mail.de…teien_im_Profil_kurz_erklärt


    Dort findest du die Beschreibung der secmod.db, cert7/8.db und key3.db .
    Das sind die drei Dateien, in denen die Zertifikate, aber auch die privaten Schlüssel gespeichert werden. Du kannst ohne weiteres in einem "Standardprofil" weitere root-Zertifikate und auch Empfängerzertifikate hinzufügen und dann diese drei Dateien an die einzelnen Clients verteilen. Selbstverständlich nicht die Schlüsseldateien (pfx oder p12) der Benutzer. Und auch kein Master-PW setzen, denn das muss mit dem übereinstimmen, mit dem die signons.txt verschlüsselt ist.
    Es dürfte auch klar sein, dass dies nur im Rahmen einer TB-Neuinstallation gemacht werden sollte, sonst sind vorherige Einträge weg ... .


    Ein Sicherheitsproblem sehe ich keinesfalls, wenn Herausgeber- und Empfängerzertifikate auf diese Art und Weise verteilt werden. Sind doch nur offene Bestandteile. Und auch das zentrale Setzen der Vertrauensanker halte ich in einer Firma o.ä. keinesfalls für bedenklich - wenn es von einer befugten und sachkundigen Person für alle durchgeführt wird.


    Ich halte es aber für besser, wenn die Nutzer (Firma?) persönliche Schlüsseldateien bekommen, in denen der komplette Zertifikatsbaum abgespeichert ist. Beim Importieren der p12/pfx werden auch die Herausgeberzertifikate mit importiert. Der Nutzer muss dann nur noch deren Vertrauensanker setzen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • danke für deine ausführliche antwort :-)


    also ist ein nachträglicher import nicht möglich. naja mal sehen, telekom ca2 und dfn sollen ja wohl bald standarmäßig dabei sein. dachte mir aber schon vorher, dass sowas nicht gehen wird. könnte das zwar über autoit oder so reindrücken, aber das ist ja auch nicht die feine englische art :rolleyes:


    ich wünsche ein schönes wochenede!