Probleme mit TC (trustcenter.de) Zertifikat

Am 24.09.2018, werden in der Zeit zwischen 21:00 Uhr und 09:00 Uhr des folgenden Tages Wartungsarbeiten am Server durchgeführt. Daher wird die Webseite in dieser Zeit nur eingeschränkt erreichbar sein.
  • Hallo Leute!


    Ich benutze TB 2.0.0.19 unter WinXP. Nun habe ich für ein Mailkonto ein Zertifikat des TC (Trustcenter) eingerichtet. Dazu habe ich diese Hilfe verwendet.


    Alle in der FAQ gemachten Anweisungen wurden ausgeführt und auf ihre Richtigkeit überprüft. Das Zertifikat ist gültig, der Zertifizierungsstelle wurde komplett (in allen Root-Zertifikaten) vertraut und alle befinden sich im richtigen Speicher. Im Mailkonto wurde zweimal das korrekte Zertifikat ausgewählt und die Signierung auf Standard gesetzt.


    Leider ist trotz dieser Faktoren kein signiertes Versenden möglich. Die wiederkehrende Fehlermeldung lautet:
    Ihre Nachricht konnte nicht gesendet werde.
    Kann Nachricht nicht signieren. Bitte überprüfen Sie, ob die Zertifikate, die für dieses Konto in den Konto-Einstellungen angegeben sind, gültig und vertrauenswürdig sind.


    Keiner meiner Versuche das Problem zu beseitigen hatte funktioniert. Ich hatte sogar alle TC Zertifikate entfernt und nach TB-Neustart wieder installiert. Ohne positivem Effekt. TB scheint trotz korrekter Vorgehensweise nicht in der Lage zu sein ein Zertifikat von TC verwenden zu können. Andere, wie z.B. Web.de funktionieren fehlerfrei.


    Abschließend hatte ich die Zertifikate in Outlook Express getestet um deren tatsächlicher Gültigkeit zu überprüfen. Dort funktionieren sie problemlos. Wo also in TB könnte ich einen Fehler machen, dass es nicht klappt? Interessant zu erwähnen wäre vielleicht, dass ich zwar mit Firefox ein Zertifikat vom TC beantragen und im Browser installieren konnte, dieses aber trotz gesetztem Flag bei der Bestellung nicht exportierbar war. Es kam ein Hinweis auf einen unbekannten Fehler, was zum Abbruch ohne Export führte. Beim Internet Explorer jedoch gab es dieses Problem nach wiederholtem Antrag bei TC mit gleicher Adresse nicht. Das Zertifikat im IE konnte exportiert werden, welches ich dann in TB importierte. Doch mit diesem Zertifikat kann TB offensichtlich nichts anfangen, obwohl es im entsprechenden Bereich von TB als gültig angezeigt wird.


    :gruebel:

  • Hi janisha,


    so wie du meine Anleitung umgesetzt hast und wie du das alles (sehr gut!) in deinem Beitrag beschrieben hast, müsste eigentlich alles funktionieren ... .


    So ganz auf die Schnelle fallen mit zwei mögliche Ursachen ein:
    Vielleicht hast du doch nicht das richtige Herausgeberzertifikat importiert? Gerade das TC Hamburg bietet davon einige an. Öffne dein eigenes Z., schreibe dir genau die Seriennummern der Herausgeberzertifikate auf und vergleiche penibel mit denen, die du importiert hast. Meist ist das die Ursache ... .
    Du kannst das auch am Verwendungszweck (eigene Z.) sehen. Wenn "Client, Unterschrift, Verschlüsseln" eingetragen ist, dürfte die Vertrauenskette stimmen.


    Nutzt du eventuell die sehr gute Erweiterung "MailTweak"? Ich selbst hatte vor ein paar Tagen ein ähnliches Problem wie du. Und das nach vielen Jahren S/MIME-Nutzung ... .
    Als Ursache stellte sich diese Erweiterung heraus.
    Wenn du den S/MIME-Button drückst, wird dann dein Z. und das des Empfängers erkannt? So wars jedenfalls bei mir, und trotzdem kam eine ähnliche Fehlermeldung wie bei dir.
    Teste den TB mal im abgesicherten Modus, also mit komplett deaktivierten Add-Ons.


    Thunderbird kann sehr wohl mit den Kostnix-Zertifikaten vom TC HH umgehen. Ich habe neben einigen "richtigen" Schlüsseldateien und einer Chipkarte auch zwei Kostnix-Zertifikate von ihnen importiert. Funktionieren problemlos.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vielen Dank für Deinen schnellen Support.


    Ich habe alle Anweisungen und Tipps von Dir befolgt, aber leider ohne Erfolg. Also habe ich frustriert meine Zertifikate bei TC widerrufen und diese dann gelöscht.


    Allerdings ist das kein Grund zum verzweifeln für mich gewesen. Ich habe mich mal bei Thawte umgesehen und mich angemeldet. Deren Service ist nicht nur besser, weil man problemlos Schlüssel und Zertifikat neu ordern kann, wenn es Probleme mit einem Browser gegeben hat, es ist auch so, dass deren Zertifikat sofort und ohne Probleme funktioniert hat.


    Ich habe allerdings das Zertifikat von TC nicht sofort gelöscht, sondern im Rahmen meiner Möglichkeiten als Quid Pro Quo für eure monumentale Arbeit versucht zu ergründen woran es gelegen haben mag. Bei meinen Recherchen ist mir leider nur eine Sache aufgefallen. Die Zertifikate vom Trustcenter TC mögen bei mir unter TB deshalb nicht funktioniert haben, weil TB keine 'Zwecke' erkannt hat (Zertifikat-Manager). Dort stand bei mir bei TC stets "Unbekannt". In Zertifikaten von Web.de bzw. Thawte steht in dieser Spalte dagegen "Client, Unterschrift, Verschlüsseln" bzw. "Unterschrift, Verschlüsseln".


    Wenn TB nicht weiß was ein Zertifikat kann, dann kann das so gültig sein wie es will, es kann nicht verwendet werden. Warum TB den Zweck der Zertifikate von TC bei mir nicht erkennt, entzieht sich leider meinem Verständnis. Vielleicht hilft diese Erkenntnis aber um das Problem zu beseitigen, wenn es bei anderen auftritt, die mehr Durchblick besitzen und nur einen Wink benötigen.


    Ich danke auf jeden Fall für Deine Hilfe. :bussi:

  • Das mit dem "Unbekannt" ist ganz einfach:
    IMMER, wenn die von mir beschriebene Zertifikatskette nicht funktioniert, erkennt jedes vernünftige (Mail-)Programm das Zertifikat nicht an (DARF es nicht anerkennen!!) und betrachtet den Verwendungszweck eben als "unbekannt". Das hat also nichts mit dem TC HH zu tun, sondern gilt generell.
    Wenn du die Zertifikatskette so wie von mir beschrieben aufbaust, geht es auch bei Zertifikaten des TC HH. (Es gibt mehrere Beiträge hier im Forum, wo dann der Aha-Effekt eintrat ...) Wenn du die Herausgeberzertifikate von Thawte löschst oder denen das Vertrauen entziehst, wird auch bei deinem Thawte-Zertifikat "unbekannt" angezeigt. Dieses "unbekannt" ist also lediglich ein guter Hinweis darauf, dass ... siehe oben.
    Unabhängig davon gebe ich dir nochmals Recht, dass die Namensvergabe beim TC HH etwas "gewöhnungsbedürftig" ist. Aber es funktioniert! Ich habe mir ja auch extra für deinen Beitrag ein Zertifikat von denen geholt. (corr: siehe unten!)


    Nebenbei: Es ist allgemein üblich, in den Schlüsseldateien den gesamten Zertifikatsbaum zu integrieren. Das macht die Dateien eben um ein paar 100 Byte größer. Wenn du so eine .pfx importierst, sind alle erforderlichen Herausgeberzertifikate gleich mit importiert und du musst nur (siehe meinen letzten Beitrag) das Vertrauen einstellen. Warum das beim TC HH nicht funktioniert, musst du die fragen ... .


    Aber die Hauptsache ist doch, du kannst deine Mails jetzt signieren und zumindest an dich verschlüsselte Mails empfangen. Jetzt musst du "nur noch" deine Umgebung von der Nützlichkeit überzeugen :-)


    MfG Peter


    corr: Es ging um folgenden Beitrag: http://www.thunderbird-mail.de….php?f=33&t=37533#p201453

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!