Kein S/MIME mit selbstsigniertem X.509-Zertifikat

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 12.0.1 und 24.2.0
    * Betriebssystem + Version: Windows XP
    * Kontenart (POP / IMAP): POP
    * Postfachanbieter (z.B. GMX): Telekom
    * S/MIME oder PGP: S/MIME


    Mit Outlook/Outlook Express unter Windows XP ist S/MIME möglich, wenn mein selbstsigniertes X.509-Zertifikat (Inhaber = Aussteller) auch als Stammzertifikat importiert wird. Das Zertifikat und der P12-Container wurden mit OpenSSL erzeugt. Thunderbird verweigert den Import als Stammzertifikat, da es kein Zertifikat für eine Zertifizierungsstelle ist.


    Der Abschnitt [ usr_cert ] in der Konfigurationsdatei openssl.cfg für das User-Zertifikat:


    basicConstraints=CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment, dataEncipherment
    extendedKeyUsage = emailProtection



    Erzeuge ich dagegen zusätzlich ein selbstsigniertes X.509-Zertifikat für eine Zertifizierungsstelle (CA) mit dem gleichen Inhaber wie im User-Zertifikat, dann kann es zwar als Stammzertifikat importiert werden, aber der danach importierte P12-Container (Ihre Zertifikate) zum User-Zertifikat kann aus unbekannten Gründen nicht verifiziert werden.


    Der Abschnitt [ v3_ca ] in der Konfigurationsdatei openssl.cfg für CA:


    basicConstraints = CA:true



    Was mache ich falsch?


    mfg Volker

    PGP Schlüssel auf öffentlichen Schlüsselservern
    PGP Key ID (RSA 1024): 0xBE556595
    MD5 Fingerprint: BE46 138F DF90 B019 CBF0 EE36 2F30 9775