Zertifikat selbst erstellen und selbst signieren

    Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version: 60.7.2
    • Betriebssystem + Version: Windows 10 (neueste Build)
    • Kontenart (POP / IMAP): POP
    • Postfachanbieter (z.B. GMX): GMX
    • Eingesetzte Antivirensoftware: Kaspersky
    • Firewall (Betriebssystem-intern/Externe Software): MS-Defender

    Können Sie mir bitte helfen, wo der Fehler bei meinem Code (nachstehend) ist?

    openssl genrsa -des3 -out ca.key 4096

    openssl req -new -x509 -extensions v3_ca -days 365 -key ca.key -out ca.crt -subj="/C=AT/ST=vienna/L=vienna/O=Musterfirma/CN=CA/emailAddress=mustermann@mustermann.at/"

    openssl genrsa -des3 -out cert.key 4096

    openssl req -new -key cert.key -out cert.csr -subj="/C=AT/ST=vienna/L=vienna/O=Musterfirma/CN=CA/emailAddress=mustermann@mustermann.at"

    openssl x509 -req -days 365 -in cert.csr -CA ca.crt -CAkey ca.key -set_serial 00 -out cert.crt

    openssl pkcs12 -export -in cert.crt -inkey cert.key -out cert.p12

    Thunderbird: "Senden der Nachricht fehlgeschlagen.

    Kann Nachricht nicht signieren. Bitte überprüfen Sie, ob die Zertifikate, die für dieses Konto in den Konten-Einstellungen angegeben sind, für E-Mail gültig und vertrauenswürdig sind."

    "Musterfirma" und "Mustermann" habe ich hier nur als Beispiel gewählt. Ich suche den Fehler im Code, weil Thunderbird das Zertifikat ablehnt. Natürlich habe ich auch schon "Firma Huber" und "Thomas" als Namen probiert. Läuft immer schief. Leider!

    Das Zertifikat wurde in Thunderbird selber importiert unter "Zertifikate" und "Zertifizierungsstelle" und auch in Windows selbst importiert.

    Vielen Dank im voraus für Ihre Mühe!

  • Thunder July 7, 2019 at 9:09 PM

    Approved the thread.

    Hallo,

    soweit mit bekannt, akzeptiert Thunderbird keine selbstsignierte X.509-Zertifikate (ca.crt, cert.csr).

    Es muss immer eine öffentliche Zertifizierungsstelle (CA) als Stammzertifikat darüber existieren. Die Option -CA verhält sich wie eine "mini CA". Möglicherweise fehlen in der openssl.conf noch Optionen wie keyUsage und extendedKeyUsage.

    Dagegen können selbstsignierte X.509-Zertifikate problemlos in den Zertifikatsspeicher von Windows importiert werden, auch als Stammzertifikat. Die Windows E-Mail-Programme akzeptieren dies.

    mfg Volker

    PGP Schlüssel auf öffentlichen Schlüsselservern
    PGP Key ID (RSA 1024): 0xBE556595
    MD5 Fingerprint: BE46 138F DF90 B019 CBF0 EE36 2F30 9775

    Hallo Volker!

    Danke für die Antwort!

    Hmm... und ein S/MIme Zertifilkat ohne CA - also nur Benutzerzertifikat (.p12 Datei) nimmt Thunderbird auch nicht?
    Ich habe mal irgendwo gelesen, dass man zum Mailen nicht unbedingt eine CA braucht, - stimmt das?
    Kenne mich nicht so aus, - bitte um Hilfe.

    Was kann ich tun, damit ich ein S/MIMe (Benutzer-)Zertifikat in Thunderbird verwenden kann?
    Ohne "echte" Ausstellungsbehörde funktioniert die Signierung/Verschlüsselung nicht?

    Könnt ihr mir bitte meine Codezeilen korrigieren, dass Thunderbird mir wieder die Mails verschlüsseln lässt?
    (Vielleicht ohne CA-Ausstellerzertikat und nur Benutzer-Zertifikat?)

    Ihr seid die Experten hier, - wer kann mir bitte helfen? DANKE!

    Quote from Tom1234

    Hmm... und ein S/MIme Zertifilkat ohne CA - also nur Benutzerzertifikat (.p12 Datei) nimmt Thunderbird auch nicht?

    Das Benutzerzertifikat (.p12 Datei) enthält den privaten Schlüssel und das öffentliche X.509-Zertifikat, das von einer öffentlichen Zertifizierungsstelle (CA) zertifiziert sein muss, sonst kann es von Thunderbird nicht verifiziert werden, es ist nicht vertrauenswürdig.


    Unter windows braucht das Benutzerzertifikat (.p12 Datei) nicht von einer öffentlichen Zertifizierungsstelle (CA) zertifiziert zu sein, es kann selbstsigniert sein.

    Quote from Tom1234

    Ich habe mal irgendwo gelesen, dass man zum Mailen nicht unbedingt eine CA braucht, - stimmt das?

    Das Zertifikat der öffentlichen Zertifizierungsstelle (CA) muss aber als Stammzertifikat im Zertifikatsspeicher von Thunderbird vorhanden sein, damit beim Signieren und Entschlüsseln von E-Mails das Benutzerzertifikat und beim Verschlüsseln und verifizieren von E-Mails das öffentliche X.509-Zertifikat von Thunderbird verifiziert werden kann.

    Quote from Tom1234

    Was kann ich tun, damit ich ein S/MIMe (Benutzer-)Zertifikat in Thunderbird verwenden kann?
    Ohne "echte" Ausstellungsbehörde funktioniert die Signierung/Verschlüsselung nicht?

    Richtig.

    Quote from Tom1234

    Könnt ihr mir bitte meine Codezeilen korrigieren, dass Thunderbird mir wieder die Mails verschlüsseln lässt?
    (Vielleicht ohne CA-Ausstellerzertikat und nur Benutzer-Zertifikat?)


    Verwende z.B. die E-Mail-Programme von MS.

    mfg Volker

    PGP Schlüssel auf öffentlichen Schlüsselservern
    PGP Key ID (RSA 1024): 0xBE556595
    MD5 Fingerprint: BE46 138F DF90 B019 CBF0 EE36 2F30 9775

    @ Tom: Doch das geht, ich habe es gerade kürzlich mal durchgespielt. "Eigene" CA erstellt und Zertifikat dazu, beides importiert im TB und geht.

    Allerdings habe ich das mit xca erstellt - weil ich nicht so auf Terminalbefehle stehe und weil ich ehrlich gesagt auch lange versucht, probiert und verglichen habe mit den "professionellen" Roots. Da fand ich so ein nettes Programm, was mir das auch gut darstellt die Abhängigkeiten, recht nett.

    Aber generell geht's . Vielleicht liest Du auch mal meinen anderen Forenbeitrag dazu, es kam bei mir streng auf die Reihenfolge an und der Cache scheint bei TB auch sehr nachtragend, der vergißt nie....

    Mit Windows hat das m.E. nichts zu tun - Windows, und mein Firefox kennen meine private CA auch (noch) nicht - obwohl das mal geplant ist, momentan übe ich nur - und das Signieren/Senden ging trotzdem

    Hallo Grüße ans Forum,

    Ich möchte auch für die Familie eine CA erstellen um Mails ggf. in TB zu verschlüsseln oder zumindest signieren zu können. Ich habe das Programm XCA installiert und sogar schon einige Zertifikate produziert X509, PKCS#12und es ist mir gelungen in TB auch ein Zertifikat zu installieren... allerdings wird es dort nicht verifiziert und ich bekomme eine Fehlermeldung wenn ich unterschrieben versenden möchte... na vom verschlüsseln ganz zu schweigen.

    Gibt es da irgendwo / irgendwie eine nicht so ganz komplizierte Anleitung?