Eigene kleine CA für Familie erstellen

  • Hallo,


    ich hatte vor 2 Jahren mit Tinyca2 eine Root CA erstellt und habe es auch irgendwie hinbekommen, 3x s/mime Zertifikate für 3 User zu erzeugen. Diese konnte ich sowohl in Thunderbird als auch auf einem IPhone/Ipad installieren. Läuft super! :-)


    Ich wollte jetzt weitere Adressen hinzufügen, bekomme es aber nicht mehr hin, der Import der .p12 in Thunderbird Datei scheitert jedes mal mit 'Die PKCS#12-Operation ist aus unbekannten Gründen fehlgeschlagen.'...also wahrscheinlich klappt der Export bzw. das erstellen der Zertifikate in Tinyca2 schon irgendwie nicht bzw. mach ich etwas flasch. :gruebel:
    Da Tinyca wohl eingestellt ist/wird, ich hier schon viel im Forum Quergelesen habe und XCA erwähnt wurde, habe ich mir dieses angeschaut. Aber trotz allem - die vielen Einstellmöglichkeiten verwirren und ich habe auch im Netzt keine Anleitung oder mal Templates gefunden, um eine 'einfache' Root CA und passende s/mime Zertifikate für User zu erzeugen. Es muss nicht perfekt sein und ist ja nur für den Familiengebrauch!?
    Ich habe folgende gute Anleitung gefunden für xca und VPN-Zertifikate:


    https://www2.lancom.de/kb.nsf/…78EF00405371?OpenDocument


    Hat vielleicht jemand die Muße und das Wissen, die (hoffentlich wenigen) Änderungen zu dieser Anleitung mir zukommen lassen zu können, vielleicht hat ja auch jemand passende Templates oder weiss, wo man solche herunterladen kann, was die ganze Sache sehr erleichtern würde. :flehan:


    Es ist sehr schade das es nicht eine konkrete Anleitung dazu gibt, wie man in z.B. XCA eine CA anlegt und anschliessend für die User die passenden .p12 Dateien für die s/mime Emaliverschlüsselung erzeugt und exportiert. :|


    Wenn das Zertifikat aber erzeugt und erst einmal in Thunderbird drin ist, dann ist verschlüsseln und signieren einfach super einfach! :top: Deshalb möchte ich es nämlich auch nicht missen! :zustimm:


    Herzlichen Dank schon mal im voraus!


    Christian :)

  • Hallo Christian,


    und willkommen im Forum!
    Ich möchte dir gleich am Anfang eine ernsthafte Warnung aussprechen: Wer verschlüsselt ist verdächtig :D


    Es freut mich, was ich in deinem Beitrag gelesen habe, denn seit ca. 1995 mit dem Herüberschwappen von PGPi v. 2.0.6 für DOS verschlüssele ich sehr konsequent fast meine gesamte Korrespondenz. Und nach der allgemein bekannten Antwort von Phil Z. , ob in PGP ein Backdoor implementiert ist, nutze ich S/MIME. Am Anfang mit openSSL auf der Linux-Konsole, später mit TinyCA und nun schon viele Jahre mit XCA.


    Ich betreibe eine "kleine" Privat-CA und erzeuge jedes Jahr für recht viele Leute X.509-Zertifikate und wenn gewünscht auch die dazu gehörenden Schlüssel (sonst zertifiziere ich die mir übersandten Zertifikats-Requests).
    Das betrachte ich als meinen kleinen (und selbstverständlich unentgeldlichen!) Service für unsere Menschen zum Schutz ihrer Privatsphäre.
    Also wenn du dir den "Stress" nicht ans Bein binden willst, kannst du gern meine Dienste in Anspruch nehmen. Das ist aber lediglich ein Angebot!


    Wenn du aber selbst CA spielen willst, dann helfe ich dir gern!
    Der große Vorteil von XCA ist, dass man dort auf einfache Art (natürlich muss man wissen, was man macht!) Templates anlegen kann. Und mit Hilfe dieser Templates läuft das dann so, wie in einer richtigen professionellen CA ab. Also keine 2 Minuten pro Zertifikat.
    Die von dir verlinkte Beschreibung ist ja ganz gut, allerdings keinesfalls mehr zeigemäß! Mit SHA-1 und 2K-Schlüsseln wird man heute keinen Blumentopf mehr gewinnen.


    Eine eigene Anleitung habe ich nicht geschrieben (brauche ich nicht, und ich habe auch keine Lust dazu!). Aber ich kann dir gern meine Templates für die CA und S/MIME-User geben und auch Anleitungen für den Import in den Thunderbird und auch für das Erzeugen von Zertifikats-Requests.
    Schicke mir per PN eine E-Mailadresse und los gehts.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Christian,


    da ich eh schon verdächtig bin, bisher aber nur über gpg, habe ich mir heute Abend einmal xca angeschaut (gibt es im Ubuntu-Rep.). Ich habe bei sourceforge auch eine Anleitung gefunden, siehe Punkt 14, step by step guide. Sie ist wohl identisch mit der Hilfe im xca selbst.
    Damit ist es mir gelungen, in weniger als 30 min eine CA und die zugehörigen Zertifikate für 2 meiner E-Mailadressen anzulegen. Export, Import in den TB, Signieren und Verschlüsseln hat sofort geklappt.


    Peter : Details, wie die Vorlagen, habe ich mir noch nicht angeschaut. Ich habe mich überhaupt mit S/MIME bisher nur wenig beschäftigt. Ich bin aber angenehm überrascht, wie einfach das ging. Ich will nicht gleich übertreiben, aber es könnte sein, dass ich noch zum Umsteiger werde und auch eine private CA eröffne ;-)


    Mein erster Eindruck ist, dass es für so manchen deutlich einfacher ist, lediglich die PKCS#12 zu importieren als Enigmail und gpg installieren zu müssen. Vielleicht erhöht das die Akzeptanz.


    Gruß


    Susanne

  • Hallo Susanne,


    schön, dass du dich nun auch mit S/MIME befasst ;-)
    Einfacher geht es wirklich nicht. Und "nebenbei" fallen auch noch die Softtoken und Zertifikate für das VPN, SSL-Clients, usw. an. Und wenn alles von einer zentralen CA kommt, funktioniert es auch mit der Vertrauenswürdigkeit.
    Und mit der Eigenerzeugung der Schlüssel, gehst du auch der bei so manchen TrustCentern üblichen Speicherung der privaten Schlüssel aus dem Wege. Ich persönlich würde mich auch nicht auf Schlüssel verlassen, welche ich "vom Staat" bekomme (nPA). Und du kannst Freunden und Bekannten auch anbieten, dass diese dir einen Zertifikats-Request schicken, welchen du dann zertifizierst. Dann macht jeder seinen privaten Schlüssel selbst und trotzdem sind es nur wenige CA, deren Herausgeberzertifikate importiert werden müssen.



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    noch einmal vielen Dank für die Hilfe.
    Dank dieser haben die ersten Gehversuche prima geklappt und ich werde nach noch ein bisschen weiter probieren und optimieren dann meine erste eigene CA jetzt aufsetzen können.


    Susanne und Peter: Ich freue mich schon drauf, jetzt auch verdächtig zu sein, werde die Dienste der eigenen kleinen CA aber trotzdem neben der Familie auch Bekannten und Freunden anbieten.
    Es ist wirklich recht einfach zu implementieren in Thunderbird, stört nicht und gibt einem ein besseres Gefühl ....! ;)


    Ich hoffe es läuft nicht wie bei Peter 'aus dem Ruder'...! :) 
    Doch das ist wohl (leider) eher nicht zu befürchten...kaum einer beschäftigt sich mit dem Thema! :(


    Herzlichen Dank noch mal und der Tipp an alle, es ruhig mal selbst zu probieren.....hier gibt es im Zweifel und bei Problemen eine wirklich tolle Hilfe! :zustimm:


    Gruss


    Christian

  • Hallo Christian,


    gern geschehen!
    Es hat mir Spaß gemacht, mit dir zusammen zu arbeiten. Und willkommen im Club der "Verdächtigen".



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Susanne, hallo Peter_Lehmann,


    Ihr macht einem ja direkt den Mund wässrig, auch mal mit XCA zu werkeln ... :-)


    "Peter_Lehmann" schrieb:

    Die ... verlinkte Beschreibung ist ja ganz gut, allerdings keinesfalls mehr zeigemäß! Mit SHA-1 und 2K-Schlüsseln wird man heute keinen Blumentopf mehr gewinnen.

    Welche Schlüssel wären denn Deiner Erfahrung nach gegenwärtig zu nutzen? XCA wird ja höchstwahrscheinlich unterschiedliche Schlüsselvarianten bereitstellen.


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Hi,


    was ich benutze, siehst du doch in den Zertifikaten, welche du von mir hast.
    SHA-512 und 4K-Schlüssel. Wenn schon, denn schon.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    sitze halt gerade an meiner Arbeitsplatz-WinDOSe ohne Donnervogel, ohne S/MIME ... und bin deshalb auf das Naheliegende nicht gekommen.


    Da werkelt der Ausgugg mit dem Exchange Server ...


    Deshalb danke für den "Wink mit dem Zaunpfahl ..." ;)


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Hallo,


    ich habe im Moment eigentlich gar keine Zeit für größere "Projekte". Dennoch hat mich das Thema nicht losgelassen, und so habe ich die Zeit vor dem Halbfinale gestern genutzt, noch ein wenig mit xca und TB zu spielen. Noch kein Fazit, aber ein kleiner Erfahrungsbericht:


    Ich bin nach wie vor sehr angetan von S/MIME, weil die Bereitstellung und Benutzung für den Anwender so denkbar einfach ist: zwei Zertifikate importiert - fertig. Keine Installation, keine Erweiterung, keine weitere Konfiguration.
    Zwei unserer Kinder (beide noch Schüler) haben das gerade eben brav getestet und nach mündlicher Beschreibung sofort einrichten können.


    Ein großer Vorteil von gpg für den Gebrauch im Familien- und Freundeskreis schien mir stets, dass man sich die Schlüssel selbst erstellen kann und eben kein Zertifikat von extern benötigt. Neben den Kosten, hielt ich die damit verbundene Prozedur für zu aufwendig, als dass man damit die Massen begeistern könnte. Ich weiß gar nicht, weshalb ich bisher nie ernsthaft überlegt hatte, die Zertifikate ebenfalls selbst zu erstellen.


    Das xca selbst ist nichts für Anfänger, insbesondere weil es die ganze Bandbreite an Zertifikaten und deren Einsatzzwecke abdeckt. Das Betreiben einer privaten CA würde ich daher nicht jedem empfehlen - die Nutzung von Verschlüsselung, egal ob nun S/MIME oder gpg, aber schon.


    "Peter_Lehmann" schrieb:

    Und du kannst Freunden und Bekannten auch anbieten, dass diese dir einen Zertifikats-Request schicken, welchen du dann zertifizierst.


    Das habe mir gestern angeschaut und ausprobiert. Das Erstellen eines Requests ist mit xca natürlich viel einfacher als direkt per OpenSSL im Terminal, und wir haben das auch recht schnell hinbekommen. Für jemanden, der sich gar nicht mit dem Thema auskennt, ist das aber alles andere als einfach. Ich befürchte daher, dass das Erstellen eines Request viele abschrecken und/oder überfordern wird, auch mit Template.
    Peter, wie sind denn Deine Erfahrungen als CA damit? Kommen Deine "Kunden" damit zurecht?


    Christian, im Familienkreis ist das aber sicher kein Problem. Personen, die Dir vertrauen, dass Du deren privaten Schlüssel nicht speicherst, kannst Du das ja abnehmen und die Zertifikate ohne Request erstellen.


    Gruß


    Susanne

  • Hallo Susanne,


    Zitat

    Für jemanden, der sich gar nicht mit dem Thema auskennt, ist das aber alles andere als einfach. Ich befürchte daher, dass das Erstellen eines Request viele abschrecken und/oder überfordern wird, auch mit Template.
    Peter, wie sind denn Deine Erfahrungen als CA damit? Kommen Deine "Kunden" damit zurecht?


    Ich habe damit vor 10 Jahren angefangen. Zuerst für die Familie (ich war mitunter viele Wochen unterwegs ...), dann Freunde, Arbeitskollegen, viele Nutzer aus dem Forum hier und dem Linux-Club, usw. Jetzt sind es mehrere Hundert pro Jahr.
    Ich habe immer beides angeboten. "Komplett" oder eben nur das Zertifizieren eines Requests. Fast alle wollen, dass ich ihnen die kompletten Softtoken liefere. Requests werden verhältnismäßig wenige "verlangt".
    Woran das liegt, frage ich nicht. Vielleicht bin ich nicht das Feindbild meiner "Kunden"? Oder sie vertrauen mir eben. Kann ja sein ;-)


    Ich wende mich mit meiner "Dienstleistung" ja auch in erster Linie an Menschen, die von sich aus kaum ihre Mails verschlüsseln und schon gar nicht ihre Schlüssel selbst erzeugen würden. Lieber gar nicht, als kompliziert ... .


    Wenn Request, dann übersende ich eine komplette bebilderte Dokumentation, welche wohl jedermann erfolgreich nutzen kann. Einfach stur nach Anleitung ... . Diese Methode ist mir auch lieber, weil damit das Transportproblem des private Keys keines mehr ist. (Du weißt ja, wie du an diese Dokumentation kommen kannst.)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo "Verdächtige",


    Motivation zur Verschlüsselung, Erfahrungsbericht, Teil 2 ...


    Ich habe drei meiner privaten Kontakte (TB-Nutzer) gebeten, bei einem Test mitzumachen. Ich habe bewusst eher technische Laien ausgewählt, die sich bisher noch nie mit dem Thema Verschlüsselung beschäftigt haben.
    Ich habe ihnen zunächst per Screensharing zeigen wollen, wie man einen Request stellt. Sie waren sich schnell einig: diesen Aufwand würde sie nicht betreiben wollen.


    Als nächstes habe ich beschrieben, wie sie ein Zertifikat einer "richtigen" CA bekommen könnten, also den Weg über das Kryptomodul des Firefox. Auch dazu war die Meinung eindeutig: zwar einfacher als der Request an mich, aber immer noch zu kompliziert.


    Dann habe ich ihnen jeweils das Komplettpaket aus meiner privaten Test-CA geliefert. Damit und mit einer Anleitung von wenigen Zeilen habe ich sie allein gelassen. Alle drei haben es sofort hinbekommen.
    Dass ich in diesem Fall ihren privaten Schlüssel speichern könnte, hat sie wenig gestört. Schließlich habe ich ja keinen physikalischen Zugang zu ihren Rechnern, und wenn ich ihn hätte, könnte ich unverschlüsselte E-Mails ja eh lesen oder kopieren.


    Wir haben dann heute am Abend wieder eine Remote-Session gemacht. Ich habe die Installation von gpg und Enigmail unter Windows gezeigt. Antwort: Das trauen sie sich so ohne weiteres nicht zu. Das S/MIME Komplettpaket war einfacher.


    Zu diesem Zeitpunkt dachte ich schon, ich hätte drei neue Mitstreiter, zumal sie natürlich alle niemals auf die Idee kommen würden, einen Brief unverschlossen zu versenden und es auch nicht akzeptieren würden, wenn ihnen ihre Bank offene Briefe oder gar Postkarten schicken würde.
    Als ich sie dann darauf hinwies, dass sie die E-Mails ohne Schlüssel/Zertifikat nicht mehr lesen können, dass Webmail dann keine Option mehr ist und dass sie auf dem Smartphone ggf. einen anderen E-Maill-Client benötigen, war die Freude spürbar getrübt.


    Mein Fazit: Verschlüsselung bleibt trotz Snowden usw. wohl ein Randthema. Wenn allerdings im Freundeskreis die Bereitschaft oder gar der Wunsch vorhanden ist, E-Mails zu verschlüsseln, dann ist so eine private CA keine schlechte Idee. Nach meiner nicht repräsentativen Erfahrung mit einer außerdem sehr kleinen Testgruppe wird sie eher akzeptiert als gpg.


    Für diejenigen, die sich zutrauen, eigene Root-Zertifikate zu erzeugen, schließe ich mich Christians Meinung an,


    "cpeters" schrieb:

    es ruhig mal selbst zu probieren


    Interessierten, die sich das nicht zutrauen, empfehle ich nach wie vor, sich Enigmail anzusschauen. Dazu sind hier im Forum einfache Anleitungen verlinkt. Die Suche hilft da weiter. Oder schaut euch Peters Anleitung zu S/MIME mit einem Zertifikat von einer offiziellen CA an.


    Gruß


    Susanne

  • Hallo Susanne,


    im Grunde genommen bestätigst du die Erfahrungen, die wir wohl fast alle gemacht haben - den Mehraufwand für Verschlüsselung wollen viele nicht auf sich nehmen, so dass der verschlüsselte Mail-Austausch sich auf nur wenige Leute im Freundes-/Bekanntenkreis beschränkt. Ganz zu schweigen von den Behörden...

  • Hallo graba,


    ja so ist es. Ich bin jedoch immer noch optimistisch, dass man so wenigsten ein paar Leute bewegen kann. Ich bin aber realistisch genug zu wissen, dass es nicht sehr vielen sein werden. Aber jeder einzelne zählt.


    "graba" schrieb:

    ... den Mehraufwand für Verschlüsselung wollen viele nicht auf sich nehmen


    Das ist der Punkt, der mich antreibt, es in unserem Freundeskreis anzubieten. Im Falle einer privaten CA hat der Anwender selbst kaum Mehraufwand. Den hat fast allein der Herausgeber. Und der macht das doch gern, siehe Peter. Überhaupt, wer tut seinen lieben denn nicht gern einen Gefallen?


    Also, liebe zögerlichen Mitleser, jetzt machts halt amoi mit!


    Grüße


    Susanne

  • Hallo zusammen,
    ich habe hier im stillen mitgelesen und einiges ausprobiert.
    Da mein Englisch sehr schlecht ist hatte ich nach einer deutschen Anleitung gesucht und dieses gefunden:
    http://wiki.openvpn.eu/index.p…%BCsselverwaltung_mit_XCA
    diese Anleitung ist nicht schlecht, nur wen man nicht so genau weiß worauf es ankommt, vergisst man schon einmal einen Haken oder macht eine falsche zu Ordnung der Zertifikate :surprised:
    Mit Hilfe eines Telefonats hat es dann funktioniert.
    Für mich viel wichtiger war dann die E-Mail mit dem Hinweis auf dieses Add-on:
    "Encrypt if possible"
    Da ich das in meinem Verein auch einführen möchte, ist es wichtig das diese Leute nur verschlüsselte Mails schicken zu Empfänger die diese auch lesen können und nicht jedes mal überlegen müssen wie verschicke ich diese E-Mail.
    Und wie Susanne geschrieben hat werde auch ich alles für den Vorstand vorbereiten müssen, so dass sie nur die Zertifikate einlesen brauchen.
    Mir wurde noch ein weiteres Add-on angeboten "Security by Address Book" , das finde ich aber zu aufwendig.
    Wenn ich das erste Add-on installiert habe und in den Kontoeinstellungen unter S/MIME "Nachrichten digital unterschreiben" angekreuzt habe, bin ich der Meinung das dass für mich aus reicht.


    Ich hatte seit einiger Zeit OpenPGP installiert und wie es im Moment aussieht kann man diese beiden Arten der Verschlüsselung auch parallel anwenden.


    Oh Mann, so viel habe ich ja in einem Beitrag noch nie geschrieben :)



    MfG
    EDV Oldi

  • "graba" schrieb:

    läuft sogar ein Oldi zur Hochform auf


    So bleibt auch ein Oldi Fit :) 

    "edvoldi" schrieb:

    Mir wurde noch ein weiteres Add-on angeboten "Security by Address Book"


    Habe mich doch entschlossen diese Add-on zu benutzen, dann gibt es auch keine Probleme zwischen S/MIME und OpenPGP.


    MfG
    EDV Oldi

  • So wenn ich jetzt schon einmal Blut geleckt habe, habe ich da noch eine Frage.
    Kann ich auch verschlüsselte E-Mails von unserer Homepage verschicken??
    Das heißt es gibt auf unserer Vereins-Homepage einige Seiten von wo mir Änderungen zu geschickt werden können.
    Ist es möglich diese zu verschlüsseln?



    Wenn Ihr meint das passt hier nicht rein bitte ein neues Thema eröffnen.


    MfG
    EDV Oldi

  • Hallo Oldi,


    im Prinzip geht das. Ich habe aber es aber noch nie selbst versucht. Habe auch keine öffentliche Homepage :mrgreen:


    Wie man das bewerkstelligt hängt davon ab, wie Deine Seite funktioniert. In php z.B. gibt es Methoden dafür. Siehe z.B. hier. Ist leider in Englisch, gibt es bestimmt auch irgendwo auf Deutsch.
    Ähnliches gilt für Java. Wenn Du auf Deinem Server einen App-Server laufen hast, bietet der sicher ebenfalls Methoden dazu.


    Vielleicht hat Peter noch etwas Konkreteres dazu.


    Gruß


    Susanne

  • Hallo Susanne,
    ich habe gerade mich bei 1und1 umgesehen, hier liegt unsere Homepage.
    Die stellen die " CGI-Programme " in einiger Zeit ein, über dieses Programm läuft im Moment die Kontaktaufnahme.
    Ich vermute das dass so wie so nur über den Anbieter der Seite funktioniert und ich dann wohl auch ein SSL Zertifikat brauche. 1und1 wird mich benachrichtigen wenn die die CGI-Programme einstellen und mir dann bestimmt auch eine alternative vorschlagen.
    Das war ja nur so eine Idee, ich dachte mir schon das dass nicht so einfach geht.


    MfG
    EDV Oldi