Zertifikat selbst erstellen und selbst signieren

Tom1234

Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

Thunderbird-Version: 60.7.2
Betriebssystem + Version: Windows 10 (neueste Build)
Kontenart (POP / IMAP): POP
Postfachanbieter (z.B. GMX): GMX
Eingesetzte Antivirensoftware: Kaspersky
Firewall (Betriebssystem-intern/Externe Software): MS-Defender

Können Sie mir bitte helfen, wo der Fehler bei meinem Code (nachstehend) ist?

openssl genrsa -des3 -out ca.key 4096

openssl req -new -x509 -extensions v3_ca -days 365 -key ca.key -out ca.crt -subj="/C=AT/ST=vienna/L=vienna/O=Musterfirma/CN=CA/emailAddress=mustermann@mustermann.at/"

openssl genrsa -des3 -out cert.key 4096

openssl req -new -key cert.key -out cert.csr -subj="/C=AT/ST=vienna/L=vienna/O=Musterfirma/CN=CA/emailAddress=mustermann@mustermann.at"

openssl x509 -req -days 365 -in cert.csr -CA ca.crt -CAkey ca.key -set_serial 00 -out cert.crt

openssl pkcs12 -export -in cert.crt -inkey cert.key -out cert.p12

Thunderbird: "Senden der Nachricht fehlgeschlagen.

Kann Nachricht nicht signieren. Bitte überprüfen Sie, ob die Zertifikate, die für dieses Konto in den Konten-Einstellungen angegeben sind, für E-Mail gültig und vertrauenswürdig sind."

"Musterfirma" und "Mustermann" habe ich hier nur als Beispiel gewählt. Ich suche den Fehler im Code, weil Thunderbird das Zertifikat ablehnt. Natürlich habe ich auch schon "Firma Huber" und "Thomas" als Namen probiert. Läuft immer schief. Leider!

Das Zertifikat wurde in Thunderbird selber importiert unter "Zertifikate" und "Zertifizierungsstelle" und auch in Windows selbst importiert.

Vielen Dank im voraus für Ihre Mühe!

Volker_

Hallo,

soweit mit bekannt, akzeptiert Thunderbird keine selbstsignierte X.509-Zertifikate (ca.crt, cert.csr).

Es muss immer eine öffentliche Zertifizierungsstelle (CA) als Stammzertifikat darüber existieren. Die Option -CA verhält sich wie eine "mini CA". Möglicherweise fehlen in der openssl.conf noch Optionen wie keyUsage und extendedKeyUsage.

Dagegen können selbstsignierte X.509-Zertifikate problemlos in den Zertifikatsspeicher von Windows importiert werden, auch als Stammzertifikat. Die Windows E-Mail-Programme akzeptieren dies.

mfg Volker

Tom1234

Hallo Volker!

Danke für die Antwort!

Hmm... und ein S/MIme Zertifilkat ohne CA - also nur Benutzerzertifikat (.p12 Datei) nimmt Thunderbird auch nicht?
Ich habe mal irgendwo gelesen, dass man zum Mailen nicht unbedingt eine CA braucht, - stimmt das?
Kenne mich nicht so aus, - bitte um Hilfe.

Was kann ich tun, damit ich ein S/MIMe (Benutzer-)Zertifikat in Thunderbird verwenden kann?
Ohne "echte" Ausstellungsbehörde funktioniert die Signierung/Verschlüsselung nicht?

Könnt ihr mir bitte meine Codezeilen korrigieren, dass Thunderbird mir wieder die Mails verschlüsseln lässt?
(Vielleicht ohne CA-Ausstellerzertikat und nur Benutzer-Zertifikat?)

Ihr seid die Experten hier, - wer kann mir bitte helfen? DANKE!

Volker_

Zitat von Tom1234

Hmm... und ein S/MIme Zertifilkat ohne CA - also nur Benutzerzertifikat (.p12 Datei) nimmt Thunderbird auch nicht?

Das Benutzerzertifikat (.p12 Datei) enthält den privaten Schlüssel und das öffentliche X.509-Zertifikat, das von einer öffentlichen Zertifizierungsstelle (CA) zertifiziert sein muss, sonst kann es von Thunderbird nicht verifiziert werden, es ist nicht vertrauenswürdig.

Unter windows braucht das Benutzerzertifikat (.p12 Datei) nicht von einer öffentlichen Zertifizierungsstelle (CA) zertifiziert zu sein, es kann selbstsigniert sein.

Zitat von Tom1234

Ich habe mal irgendwo gelesen, dass man zum Mailen nicht unbedingt eine CA braucht, - stimmt das?

Das Zertifikat der öffentlichen Zertifizierungsstelle (CA) muss aber als Stammzertifikat im Zertifikatsspeicher von Thunderbird vorhanden sein, damit beim Signieren und Entschlüsseln von E-Mails das Benutzerzertifikat und beim Verschlüsseln und verifizieren von E-Mails das öffentliche X.509-Zertifikat von Thunderbird verifiziert werden kann.

Zitat von Tom1234

Was kann ich tun, damit ich ein S/MIMe (Benutzer-)Zertifikat in Thunderbird verwenden kann?
Ohne "echte" Ausstellungsbehörde funktioniert die Signierung/Verschlüsselung nicht?

Richtig.

Zitat von Tom1234

Könnt ihr mir bitte meine Codezeilen korrigieren, dass Thunderbird mir wieder die Mails verschlüsseln lässt?
(Vielleicht ohne CA-Ausstellerzertikat und nur Benutzer-Zertifikat?)

Verwende z.B. die E-Mail-Programme von MS.

mfg Volker

alfware17

@ Tom: Doch das geht, ich habe es gerade kürzlich mal durchgespielt. "Eigene" CA erstellt und Zertifikat dazu, beides importiert im TB und geht.

Allerdings habe ich das mit xca erstellt - weil ich nicht so auf Terminalbefehle stehe und weil ich ehrlich gesagt auch lange versucht, probiert und verglichen habe mit den "professionellen" Roots. Da fand ich so ein nettes Programm, was mir das auch gut darstellt die Abhängigkeiten, recht nett.

Aber generell geht's . Vielleicht liest Du auch mal meinen anderen Forenbeitrag dazu, es kam bei mir streng auf die Reihenfolge an und der Cache scheint bei TB auch sehr nachtragend, der vergißt nie....

Mit Windows hat das m.E. nichts zu tun - Windows, und mein Firefox kennen meine private CA auch (noch) nicht - obwohl das mal geplant ist, momentan übe ich nur - und das Signieren/Senden ging trotzdem

OpaHoppenstedt

Hallo Grüße ans Forum,

Ich möchte auch für die Familie eine CA erstellen um Mails ggf. in TB zu verschlüsseln oder zumindest signieren zu können. Ich habe das Programm XCA installiert und sogar schon einige Zertifikate produziert X509, PKCS#12und es ist mir gelungen in TB auch ein Zertifikat zu installieren... allerdings wird es dort nicht verifiziert und ich bekomme eine Fehlermeldung wenn ich unterschrieben versenden möchte... na vom verschlüsseln ganz zu schweigen.

Gibt es da irgendwo / irgendwie eine nicht so ganz komplizierte Anleitung?

Zertifikat selbst erstellen und selbst signieren

Thunder 7. Juli 2019 um 21:09

Community-Bot 3. September 2024 um 20:40

Thunderbird 139.0.2 veröffentlicht

Thunderbird 128.11.1 ESR veröffentlicht