S/MIME Benutzerzertifikate landen unter Zertifizie [gelöst]

Am 24.09.2018, werden in der Zeit zwischen 21:00 Uhr und 09:00 Uhr des folgenden Tages Wartungsarbeiten am Server durchgeführt. Daher wird die Webseite in dieser Zeit nur eingeschränkt erreichbar sein.
  • Thunderbird-Version:: 17.0.7
    Betriebssystem + Version:7: Windows
    Kontenart: : IMAP
    Postfachanbieter (z.B. GMX):: Neue Medien Münnich
    SMIME: S/MIME


    Hallo.


    Ich habe mir mit XCA ein selbst unterschriebenes root Zertifikat für die "Familie" erstellt und für alle alle Familienmitglieder PKCS#12 Zertifikate. Deren Installation bei den Familienmitgliedern hat auch geklappt und auch der erste Austausch von verschlüsselten Emails.


    Was ich aber jetzt nicht verstehe ist, daß die Nutzerzertifikate nach dem Versand einer signierten Email jetzt im TB Zertifikate Manager unter "Zertifizierungsstellen" in meinem Stammbaum "Familie" erscheinen (siehe Bild). Erwartet hätte ich, dass die Benutzerzertifikate unter "Personen" gelistet werden.




    Auch wenn ich unter Personen auf "Importieren" klicke und Zertifikate (*.crt) hier importieren will, landen diese trotzdem wieder in meiner Familien-Hierarchie unter "Zertifizierungsstellen" wo ich ihnen das Vertrauen aussprechen kann.


    Frage: Ist das normal oder habe ich irgendwo in der gesamten Kette einen Fehler gemacht?


    Gruß
    Wilhelm

  • Hallo Wilhelm,


    und willkommen im Forum!
    sehr schön, dass du dir Gedanken über deine/eure Privatsphäre machst! Ist ja heutzutage auch wirklich notwendig.
    Ja, irgendwo hast du bei der Erzeugung oder beim Import deiner Zertifikate einen Fehler gemacht.
    Gerade mit XCA (was ich absolut favorisiere, und mit dem ich bereits über 2.000 Zertifikate erzeugt habe), geht die Erzeugung der Zertifikate doch recht einfach und vor allem sehr komfortabel.
    Du solltest zuerst die benötigten oder sehr empfohlenen Templates (Vorlagen) anlegen. Ich empfehle dabei wie im professionellen Bereich üblich, eine dreistufige Hirarchie:
    1.) Die eigentliche root-CA (Template 15 Jahre Gültigkeit, kritisch:CA usw. dazu nur die Vorlage anpassen), selbst signiert
    2.) Für jedes Jahr eine "Jahres-CA" (Template für 2 Jahre Gültigkeit, kritisch:CA, signiert von der root-CA)
    3.) Für die einzelnen Nutzer das Template "S/MIME-Nutzer", (1 Jahr Gültigkeit, S/MIME, signiert von der jeweiligen Jahres-CA)


    Dann mit den CA-Templates die jeweiligen zwei CA anlegen und für die Nutzer die Userzertifikate.
    Wichtig: immer darauf achten, dass jeweils die vorgeordnete CA signiert, und dass nur die beiden CA mit den Eigenschaften einer CA versehen sind. Die Zertifikate für die Nutzer dürfen diese Eigenschaften niemals haben!


    Ich vermute, dass dir gerade letztes passiert ist. Dass deine Nutzer also die Eigenschaften einer CA haben.



    Mein Angebot(!):
    1.) Du kannst mir gern ein Benutzerzertifikat im ASCII-Format (.pem) per PN schicken, und ich schaue es mir mal an. Ist ja eh nur eine öffentliche Datei.
    2.) Falls Interesse besteht, schicke ich dir gern mal als Muster meine drei Vorlagen. Musst du nur noch anpassen.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Nach Prüfung der Zertifikate hat Peter den Fehler erkannt: Bei XCA waren im Reiter "Netscape" die Rechte auf "SSL CA", "S/MIME CA" und "Object signing CA" gesetzt, was für Benutzerzertifikate falsch ist. Hier muß nur "S/MIME" angegeben werden, dann landen die Benutzerzertifikate im TB auch unter "Personen"