startssl erstellt 2 Zertifikate, welches wie in TB importieren

  • * Thunderbird-Version: 45.3.0
    * Betriebssystem + Version: Ubuntu MATE 16.04
    * Kontenart (POP / IMAP): IMAP
    * Postfachanbieter (z.B. GMX): Universität
    * Eingesetzte Antivirensoftware: ?
    * Firewall (Betriebssystem-intern/Externe Software): intern


    Hallo!


    Habe mit openssl Schlüssel (.key) erzeugt, dann ein .csr und damit von startssl.com ein Zertifikat erzeugen lassen. Allerdings werden zwei Zertifikate erzeugt:


    1_Intermediate.crt


    2_meine.email(a)adresse.crt


    Bei Thunderbird Konteneinstellungen im Punkt S/MIME-Sicherheit gibt es die beiden Punkte

    Digitale Unterschrift - Folgendes Zertifikat verwenden, um Nachrichten digital zu unterschreiben:


    Verschlüsselung - Folgendes Zertifikat verwenden, um Nachrichten zu ver- und entschlüsseln:



    Bei welchem der beiden Punkte wähle ich welches der beiden Zertifikate aus? Kann dabei das .crt genommen werden, oder müssen die vorher noch in .p12 umgewandelt werden?


    E-Mail-Verschlüsselung mit S/MIME habe ich gelesen, aber keine Lösung gefunden.


    Danke!

  • Hallo sandwichx!


    Das mit der eigenen Herstellung der Schlüssel und des Requests hast du sehr gut gemacht. Damit hast du sichergestellt, dass der private Key nur in deinem Besitz ist. (Was gerade bei bestimmten TrustCentern sehr wichtig ist ... .)
    Zuerst musst du das Herausgeberzertifikat unter "Zertifizierungsstellen" importieren und ihm das Vertrauen aussprechen. Du kannst dir auch alle benötigten Herausgeberzertifikate von der Webseite herunterladen und installieren. Wichtig ist, dass alle benötigten Herausgeberzertifikate auch wirklich installiert sind.


    Danach installierst du unter "Ihre Zertifikate" deine Schlüsseldatei (.p12). Das ist ein Container, in welchem sich dein private key (je nach dem, wie du ihn erzeugt hast, vermutlich .pem => aber intern deutlich als privater Schlüssel bezeichnet), dein public Key (das ist das .crt mit deiner Mailadresse oder deinem Namen), weitere Daten wie Gültigkeit usw. und die Signatur durch das Trustcenter befinden.
    Ich empfehle, dass du mit openSSL dir selbst die .p12 bastelst. Dann ist diese Datei in wenigen Sekunden importiert und auch im Zertifikatsmanager sichtbar. Du kannst darin alles erkennen - bis auf den privaten Schlüssel.
    (Es kann natürlich auch sein, dass du auch nur deinen private Key (unter Ihre Z.) und unter Personen dein Zertifikat (das ist immer nur der öffentliche Anteil!) importieren kannst und alles trotzdem funktioniert. Ich habe dieses allerdings noch nie versucht, da ich grundsätzlich gleich als .p12 exportiere.)


    Damit hast du deinen privaten Schlüssel und dein Zertifikat im Z.-Manager importiert, kannst alles kontrollieren und den Zertifikatsmanager schließen.
    Wichtig: Es sollte unbedingt ein Master-PW gesetzt werden, denn dieses schützt deinen private Key!


    Dann gehtst du in die Konten-Einstellungen >> S/MIME. (Kennst du ja schon.)
    Bei beiden bekommst du deinen im Zertifikats-Manager vorhandenen Eintrag angezeigt und kannst ihn auswählen. Du seihst zwar nur die (öffentlichen) Daten eines Zertifikates, aber genutzt wird dabei immer dein privater Schlüssel.
    Bei einem einzigen Schlüsselpaar ist das eigentlich selbsterklärend. Kompliziert wird es nur, wenn du ein Dutzend Mailkonten und für jedes ein Schlüsselpaar hast ;-)


    Tipp:
    Nichts gegen openSSL, aber viel komfortabler geht es mit dem kleinen Programm "XCA" (gibt es für unser OS und sogar für die WinDOSe).
    Du kannst damit sowohl eine eigene CA aufbauen, aber auch Requests erzeugen und hinterher völlig problemlos die Schlüsseldatei erzeugen. Auch jetzt noch mit den erhaltenen Daten.
    Ich stelle seit vielen Jahren damit jedes Jahr mehrere Hundert Zertifikate (und auf Wunsch auch Schlüsseldateien) für Menschen her, die an der Wahrung ihrer Privatsphäre interessiert sind.
    Probiere es einfach mal aus.


    OK?



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!