Zwei S/MIME-Schlüssel

  • Hallo zusammen,


    vielleicht kann mir jemand bei folgendem Problem helfen:
    Ich habe zwei Mail-Konten. Für eines (Standard-Konto) verwende ich ein S/MIME-Zertifikat per Chipkarte, für das andere ein normales Zertifikat.
    Wenn ich jetzt vom zweiten Konto eine Mail verschicke, wird bei der Verschlüsselung immer das Zertifikat des Standardkontos verwendet, das des zweiten wird gar nicht zur Auswahl angeboten.
    Wie kriege ich das hin?


    Danke schon mal & viele Grüße
    Azrael42


    Thunderbird-Version: 24.6.0, EnigMail 1.6
    Betriebssystem + Version: Win7 x64
    Kontenart (POP / IMAP): IMAP
    Postfachanbieter (z.B. GMX): GMX
    S/MIME oder PGP: S/MIME

  • Hallo,


    nein, die Zertifikate sind von unterschiedlichen TCs (Karte von D-Trust, das andere von der Uni).
    Wenn ich jetzt vom Uni-Account schicken will und ich die Karte nicht drin habe, kommt folgende Fehlermeldung:
    "Senden der Nachricht fehlgeschlagen. Kann Nachricht nicht signieren. Bitte überprüfen Sie, ob die Zertifikate, die für dieses Konto in den Konto in den Konten-Einstellungen angegeben sind, für E-Mail gültig und vertrauenswürdig sind."

  • Hallo zusammen,


    hat sich erledigt, war PEBKAC :)
    Ich hatte die falsche Zertifizierungsstelle als vertrauenswürdig markiert.


    Viele Grüße
    Azrael

  • Wie hast du denn deine Karte von D-Trust eingebunden? Da kann man so einiges falsch machen ... .

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Wie es in der Anleitung stand. So 100%ig kapier ich das sowieso nicht, weil ich immer mehrere PINs eingeben muss (bei Outlook wars nur eine).


    Wenn ich mich richtig erinnere bin ich so vorgegangen:
    1. Als Krypto-Modul Nexus Personal ausgewählt
    2. die Root-Zertifikate von der Karte als vertrauenswürdige Zertifizierungsstelle eingerichtet
    3. die Zertifikate von der Karte installiert (von der Karte mit dem Assistenten von D-Trust runtergeladen).


    Muss man hier etwas Bestimmtes beachten?


    Was mir noch nicht ganz klar ist: Komme ich eigentlich nach Ablauf der D-Trust-Signatur noch an meine verschlüsselten Mails ran?


    Danke & Gruß
    Azrael42

  • Das hast du alles richtig gemacht.


    Beim Nexus personal musst du die "personal.dll" auswählen. Kann auch sein, dass er die dann von alleine findet.
    Und beim Importieren der eigenen Zertifikate werden wirklich nur die öffentlichen Zertifikate importiert. An die privat keys kommst du nicht heran. Das ist ja auch gut so.


    Du musst zwei PW eingeben beim Import: das Master-PW vom Thunderbird und bei jedem Zugriff auf die Karte die PIN der Karte. Das bedeutet, dass du wirklich bei jedem Zugriff (Signatur bei zu sendenden Mails und Entschlüsselung erhaltener Mails) die PIN eingeben musst. WOWEREIT!


    Der Ablauf eines Zertifiktes bedeutet, dass du dieses (deinen privaten Schlüssel) danach nicht mehr zum Signieren benutzen kannst, und deine Mailpartner können deinen öffentlichen Schlüssel (also dein Zertifikat) nicht mehr zum Verschlüsseln von Mails an dich verwenden. Du kannst aber weiterhin deinen privaten Schlüssel zum Entschlüsseln "alter" mails benutzen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat

    Was mich wundert, ist dass ich immer zwei PINs eingeben muss (Signature PIN und Card PIN). Das erscheint mir ja einigermaßen logisch aufgrund der Benennung, nur bei Outlook wars eben nur eine (die Card PIN glaub ich)


    Das kann ich nicht nachvollziehen.
    Ich habe bei allen meinen Karten nur je eine einzige PIN (änderbar) und die PUK (falls ich meine PIN mehrfach falsch eingeben sollte). Mit der PIN wird der private key gesichert, und ich muss diese je 1x zum Entschlüsseln und 1x zum Signieren eingeben.
    Was sagt denn dazu die Anleitung? Kannst du mir evtl. ein paar Screenshots machen und per PN zusenden?


    Zitat

    Was mir noch auffällt: Wenn ich vom Uni-Account eine verschlüsselte Mail an meinen GMX-Account schicke muss ich im GMX-Eingang keine PIN zum Entschlüsseln eingeben, die ist schon entschlüsselt.
    Liegt das evtl daran, dass die Mail zusätzlich mit dem Uni-Zertifikat verschlüsselt wird was noch im Cache ist?


    Womit (mit welchen Clients) sendest und womit empfängst du?
    Beides Thunderbird?
    Sind beides Softtoken oder ist da bei einem die Karte im Spiel?
    Der Thunderbird entsperrt mit der Eingabe des Master-PW den Zertifikatsstore und kann dann ohne weiteres PW auf die dort gespeicherten Schlüssel zugreifen. Bei der Karte musst du jedes mal die PIN eingeben.