E-mail verschlüsseln mit S/MIME

  • hallo,
    wir sollen eine verschlüsselte email versenden, und diese email mittels s/mime-zertifikat verschlüsseln.


    Na ja also irgendwie haben wir ein "X.509-Zertifikat (S/MIME)"-zertifikat als .cer und .pem datei und irgendwie sollen wir auch ein eigenes zertifikat von hiersecure.instantssl.com/products/frontpage?area=SecureEmailCertificate erstellen (comodo).


    Na ja ich blick da nicht so wirklich durch. Ich bin nach der anleitung hier gegangen t3n.de/news/mails-verschlusseln-eigentlich-482381/ (dort wird thunderbrid benutzt) und bin jetzt soweit das ich zwar mit einem zertifikat von comodo meine mail signieren und verschlüsseln kann, allerdings macht es ja wohl eher sinn wenn ich meine email mit meinem eigenen zertifikat von comodo signiere und die email aber mit dem zertifikat verschlüssle, das in der aufgabe halt dabei war.


    Aber irgendwie funktioniert das mit der .cer und .pem datei, die in der aufgabe dabei waren nicht. Also wenn ich die .cer oder .pem datei in thunderbird auswähle und als zertifikat importieren will und mit diesem zertifikat die email verschlüsseln will, na ja dann wird mir halt nicht dieses zertifikat angezeigt, sondern nur das eigene von comodo.


    weiß da wer was?

  • Hallo olympus,


    und Willkommen im Forum! :)


    ... wenn ich meine email mit meinem eigenen zertifikat von comodo signiere und die email aber mit dem zertifikat verschlüssle, das in der aufgabe halt dabei war.

    Das ist auch problemlos möglich.
    Sicherlich hast Du schon gemerkt, daß erfolgreich angewandte Verschlüsselung immer auch ein Mindestmaß an Wissen voraus setzt. Wie Du ja bestimmt weißt ist das Signieren von mails und das Lesen verschlüsselter mails ein Vorgang, welcher den privaten Schlüssel und die Kenntnis des PW bzw. der Passphrase nötig macht.
    Signieren und verschlüsseln kannst Du ja Deine eigenen mails schon mit Deinem Zertifikat {gut!}. Also mußt Du jetzt das Zertifikat (D)eines E-Mail-Partners importieren und ihm das Vertrauen aussprechen. ;)


    Wie das geht ist gut in der Anleitung auf diesem Board beschrieben! *Grundsätzlich* lesenswert!
    [ --> Warum erscheinen fremde Zertifikate (importierte Zertifikate der E-Mail-Partner) in TB nicht unter "Personen"]


    MfG ... Vic

  • Signieren und verschlüsseln kannst Du ja Deine eigenen mails schon mit Deinem Zertifikat {gut!}. Also mußt Du jetzt das Zertifikat (D)eines E-Mail-Partners importieren und ihm das Vertrauen aussprechen.

    ja und damit gibts halt probleme. das zertifikat von meinem email partner ist eine .pem datei. wenn ich diese datei auswähle und dann in thunderbird halt importiere, erscheint mir einfach nicht das zertifikat. also es erscheint weder unter zertifikate verwalten/ihre zertifikate noch kann ich es als verschlüsselung wählen.


    ich hab es jetzt nochmal ausprobiert und nun wenn ich es importieren will bekomm ich die fehlermeldung (die hab ich davor nicht bekommen)



    Zitat

    Dieses persönliche Zertifikat kann nicht installiert werden, weil Sie den benötigten privaten Schlüssel nicht besitzen, der bei der Anfrage für das Zertifikat erstellt wurde.

    äh ja, allerdings hab ich nur die .pem datei und wenn der schlüssel nicht in der .pem datei enthalten ist, dann hab ich keins.

  • Hallo olympus,
    und willkommen im Forum!


    Eigentlich ist das alles ganz einfach (wenn man das wie ich bestimmt schon 1000 mal gemacht hat) ;)


    Wichtig ist erst einmal, dass du von beiden Zertifikaten die vollständige Vertrauenskette im Thunderbird zur Verfügung gestellt hast.
    Das bedeutet, dass (ich fange hier mal von "unten" an), das im Benutzerzertifikat des Empfängers oder auch deines eingetragene Herausgeberzertifikat auch in deinem Zertifikatsmanager vorhanden und dieses auch gültig ist.
    Du öffnest also im Zertifikatsmanager das Zertifikat, schaust dir den Gültigkeitszeitraum, die exakte Bezeichnung des Herausgeberzertifikates und auch den Fingerabdruck an. Die beiden letztgenannten am Besten aufschreiben.
    Dann gehst du nach "Herausgeberzertifikate" und suchst diese. Und nun überprüfst du, ob es wirklich exakt die benötigten sind. Hier kommt es auf Genauigkeit an!
    Bei der Gelegenheit prüfst du auch, ob den Herausgeberzertifikaten auch das Vertrauen ausgesprochen ist. Wenn nicht, die Haken setzen.
    Wenn du die Zertifikate einmal geöffnet hast, kannst du dir auch die sonstigen Zertifikatsdaten (Benutzername, Mailadresse usw.) ansehen und auch auf Plausibilität prüfen


    Das Zertifikat des Mailpartners kann ein .der, .cer oder auch ein .pem sein. Überall gleicher Inhalt und nur anderes Format. cer und .der sind immer "Zertifikate", also nur die öffentlichen Bestandteile. Eine .pem-Datei ist immer eine ASCII-codierte (also lesbare) Datei. Sie kann aber sowohl den öffentlichen Schlüssel (public key) als auch den privaten Schlüssel (secret key, eigentlich nur bei deinem eigenen Schlüssel, denn einen anderen dürftest du niemals bekommen!!) oder auch beide oder die ganze Zertifikatskette enthalten. Du kannst aber mit einem normalen Texteditor jederzeit eine .pem öffnen. Dann kannst du ganz deutlich sehen, ob durt nur public keys oder gar ein secret key drin ist.


    Ein Schlüsselpaar (public und secret key) wird von einem TrustCenter als .p12, als .pfx oder eben auch als .pem bereitgestellt. Bei den beiden erstgenannten ist der Fall klar, beim .pem eben reinsehen.


    Der Thunderbird kann alle diese Formate importieren.
    Du kannst dir auch zugeschickte Z. mit dem Zertifikatsmanager des Betriebssystems ansehen - nur dieser hat mit dem Thunderbird nichts zu tun, eignet sich in deinem Fall nur zum Betrachten.



    Wenn du die Zertifikate (für Mailempfänger) und die Schlüsseldatei (für dich) importiert hast, wirst du die ersten unter Personen und deins unter "Ihre Zertifikate" finden.
    Wichtig: alle Zertifikate erben ihre Vertrauenseinstellungen von dem vorgelagerten Herausgeberzertifikat. Also nicht den Benutzerzertifikaten noch einmal das Vertrauen aussprechen. Sie "verschwinden" dann aus "Personen" und tauchen dann unter "Server" auf, was nicht gut ist.


    Wenn das alles so, wie beschrieben realisiert ist, ist der eigentliche Import der Zertifikate und Schlüssel in den Thunderbird abgeschlossen.



    Nun musst du nur noch dem betreffenden eigenen Mailkonto unter Konten-Einstellungen > S/MIME-Sicherheit mitteilen, welches eigene Zertifikat zum Entschlüsseln und zum Signieren benutzt werden soll. Da du ja nur eines hast, dürfte das auch kein Problem darstellen.


    Nun kannst du zum Testen eine verschlüsselte und signierte Mail an dich selbst senden.



    Bitte schreibe mir, ob du das so hinbekommen hast, oder wo noch ein Problem liegt.




    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!