Digitale Signatur schlägt fehl

  • Hallo zusammen,


    ich habe ein Zertifikat für Digitale Signatur in meinen TB eingebunden und bin der Ansicht, alles richtig gemacht zu haben - Gültigkeit wird angezeigt und die entsprechenden Einstellungen für die Vertrauenswürdigkeit vorgenommen.


    Aber irgendetwas ist falsch gelaufen, weil ich beim Versenden digital signierter Emails diesen Hinweis erhalte.


    Wie können wir nunmehr der Lösung meines Problems näher kommen?


    Lieben Dank
    Gerhard

  • Hi Gerhard,


    schön wieder mal was von dir zu lesen :-)


    Hast du das Zertifikat in den Konteneinstellungen auch dem richtigen Konto - und zwar fürs Entschlüsseln und fürs Signieren ! - zugeordnet?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    Zitat von "Peter_Lehmann"

    Hi Gerhard,
    schön wieder mal was von dir zu lesen :-)


    Du weißt doch, guter Wein braucht seine Zeit :D


    Zitat

    Hast du das Zertifikat in den Konteneinstellungen auch dem richtigen Konto - und zwar fürs Entschlüsseln und fürs Signieren ! - zugeordnet?


    Ich denke schon, weiß es aber nicht mit hundertprozentiger Sicherheit zu sagen. Ich habe auch nochmal Dein "Entwurfsdokument" vom 03.03.2006 zu Hilfe genommen, konnte aber dennoch meinen Fehler nicht finden.


    Könnte mein Fehler vielleicht an anderer Stelle liegen: Mein seinerzeit gültiges Zertifikat endete Anfang Juni des Jahres. Ich habe es jedoch nicht verlängert und jetzt ein neues Zertifikat beantragt. Wird die Verlängerung möglicherweise auf einem anderen Weg realisiert?


    Brauchst Du irgendwelche Sreenshots?


    Bis denne
    Gerhard

  • Mensch Gerhard ...


    wenn dein Zertifikat bereits ungültig ist, dann kannst du damit selbstverständlich nicht mehr signieren! Und ein Mailpartner kann dir auch keine Mail mehr damit verschlüsseln. Ungültig ist eben ungültig ... .


    Du solltest unter "eigene Zertifikate" das ungültige Z. allerdings drin lassen. Denn du kannst damit auch nach Ende der Gültigkeit deine (alten) Mails damit entschlüsseln.


    "Verlängern" kann man ein Zertifikat genau so wenig wie ein Buch. Maximal einen vorhandenen öffentlichen Schlüssel noch einmal übersignieren. Zu empfehlen ist das allerdings nicht. Es gibt schon gute Gründe, warum bei einem Softwarezertifikat (und professioneller Anwendung) die maximale Gültigkeit 1 Jahr beträgt.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    ich habe mir schon gedacht, dass sich ein Zertifikat nicht verlängern lässt. Deshalb habe ich ja ein neues Zertifikat angefordert.


    Nichtsdestotrotz ist mein Problem damit noch nicht gelöst. Nun weiß ich allerdings auch nicht, wo wir bei der Fehlersuche ansetzen könnten. Vielleicht hast Du ja eine Idee.


    Parallel habe ich bei der Zertifizierungsstelle TC Trust Center nach einer Installationsanleitung gefragt. Vielleicht gibt es eine solche. Das würde mir die Fehlersuche erleichtern.


    Ich habe einige Screenshots erstellt in der Hoffnung, dass sie weiter helfen:
    http://s1.directupload.net/file/u/11527/9iicdflw_jpg.htm
    http://s1.directupload.net/file/u/11527/yc8xuse3_jpg.htm
    http://s4.directupload.net/file/u/11527/89gq4yc9_jpg.htm
    http://s1.directupload.net/file/u/11527/ujkridzi_jpg.htm
    http://s6.directupload.net/file/u/11527/yd482xiy_jpg.htm


    Bis denne
    Gerhard

  • Hi Gerhard,


    ich finde deinen Beitrag in deinem Blog gut. Du könntest in deinen Mails noch einen Link zum Trustcenter angeben, damit der Empfänger (wenn er es denn möchte ...) dein Zertifikat ohne viel Klickerei verifizieren kann. Ich meine den direkten Link zur Zertifikatssuche.
    Allerdings: Bei den Kostnix-Zertifikaten ist das mit der Identitätsfeststellung eben so sein Ding. Nicht umsonst ist für uns die Registrierung der Personen mit dokumentenecht auszufüllendem und zu archivierendem Vordruck, Ausweiskopie und der im 4-Augenprinzip zu erfolgenden Unterschrift nach der Identitätsfeststellung der kostenintensivste Arbeitsschritt bei der Erzeugung der Zertifikate.
    Aber: Mit den Kostnix-Zertifikaten ist es immerhin ein guter Anfang.


    Was dein eigentliches Problem betrifft, so sagt mit die durch dich gefundene Lösung zwei mögliche Ursachen:


    Entweder du hast es nicht geschafft, die Schlüsseldatei (pfx oder p12) vom TC-Trustcenter richtig zu erzeugen bzw. aus dem Internet-Ex zu exportieren, oder du hast einfach das falsche Herausgeberzertifikat des TC verwendet.


    Beim Umgang mit X.509-Zertifikaten muss eben ALLES stimmen!
    In deinem eigenen Zertifikat ist der Herausgeber exakt beschrieben. Und exakt dieses Herausgeberzertifikat muss vorher importiert sein. Sonst wird nix ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!