Zertifikat selbst erstellen und selbst signieren

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version: 60.7.2
    • Betriebssystem + Version: Windows 10 (neueste Build)
    • Kontenart (POP / IMAP): POP
    • Postfachanbieter (z.B. GMX): GMX
    • Eingesetzte Antivirensoftware: Kaspersky
    • Firewall (Betriebssystem-intern/Externe Software): MS-Defender


    Können Sie mir bitte helfen, wo der Fehler bei meinem Code (nachstehend) ist?


    openssl genrsa -des3 -out ca.key 4096

    openssl req -new -x509 -extensions v3_ca -days 365 -key ca.key -out ca.crt -subj="/C=AT/ST=vienna/L=vienna/O=Musterfirma/CN=CA/emailAddress=mustermann@mustermann.at/"

    openssl genrsa -des3 -out cert.key 4096

    openssl req -new -key cert.key -out cert.csr -subj="/C=AT/ST=vienna/L=vienna/O=Musterfirma/CN=CA/emailAddress=mustermann@mustermann.at"

    openssl x509 -req -days 365 -in cert.csr -CA ca.crt -CAkey ca.key -set_serial 00 -out cert.crt

    openssl pkcs12 -export -in cert.crt -inkey cert.key -out cert.p12


    Thunderbird: "Senden der Nachricht fehlgeschlagen.

    Kann Nachricht nicht signieren. Bitte überprüfen Sie, ob die Zertifikate, die für dieses Konto in den Konten-Einstellungen angegeben sind, für E-Mail gültig und vertrauenswürdig sind."


    "Musterfirma" und "Mustermann" habe ich hier nur als Beispiel gewählt. Ich suche den Fehler im Code, weil Thunderbird das Zertifikat ablehnt. Natürlich habe ich auch schon "Firma Huber" und "Thomas" als Namen probiert. Läuft immer schief. Leider!


    Das Zertifikat wurde in Thunderbird selber importiert unter "Zertifikate" und "Zertifizierungsstelle" und auch in Windows selbst importiert.


    Vielen Dank im voraus für Ihre Mühe!


  • Thunder

    Approved the thread.
  • Hallo,


    soweit mit bekannt, akzeptiert Thunderbird keine selbstsignierte X.509-Zertifikate (ca.crt, cert.csr).


    Es muss immer eine öffentliche Zertifizierungsstelle (CA) als Stammzertifikat darüber existieren. Die Option -CA verhält sich wie eine "mini CA". Möglicherweise fehlen in der openssl.conf noch Optionen wie keyUsage und extendedKeyUsage.


    Dagegen können selbstsignierte X.509-Zertifikate problemlos in den Zertifikatsspeicher von Windows importiert werden, auch als Stammzertifikat. Die Windows E-Mail-Programme akzeptieren dies.


    mfg Volker

    PGP Schlüssel auf öffentlichen Schlüsselservern
    PGP Key ID (RSA 1024): 0xBE556595
    MD5 Fingerprint: BE46 138F DF90 B019 CBF0 EE36 2F30 9775

  • Hallo Volker!


    Danke für die Antwort!


    Hmm... und ein S/MIme Zertifilkat ohne CA - also nur Benutzerzertifikat (.p12 Datei) nimmt Thunderbird auch nicht?
    Ich habe mal irgendwo gelesen, dass man zum Mailen nicht unbedingt eine CA braucht, - stimmt das?
    Kenne mich nicht so aus, - bitte um Hilfe.


    Was kann ich tun, damit ich ein S/MIMe (Benutzer-)Zertifikat in Thunderbird verwenden kann?
    Ohne "echte" Ausstellungsbehörde funktioniert die Signierung/Verschlüsselung nicht?


    Könnt ihr mir bitte meine Codezeilen korrigieren, dass Thunderbird mir wieder die Mails verschlüsseln lässt?
    (Vielleicht ohne CA-Ausstellerzertikat und nur Benutzer-Zertifikat?)


    Ihr seid die Experten hier, - wer kann mir bitte helfen? DANKE!

  • Hmm... und ein S/MIme Zertifilkat ohne CA - also nur Benutzerzertifikat (.p12 Datei) nimmt Thunderbird auch nicht?

    Das Benutzerzertifikat (.p12 Datei) enthält den privaten Schlüssel und das öffentliche X.509-Zertifikat, das von einer öffentlichen Zertifizierungsstelle (CA) zertifiziert sein muss, sonst kann es von Thunderbird nicht verifiziert werden, es ist nicht vertrauenswürdig.


    Unter windows braucht das Benutzerzertifikat (.p12 Datei) nicht von einer öffentlichen Zertifizierungsstelle (CA) zertifiziert zu sein, es kann selbstsigniert sein.


    Ich habe mal irgendwo gelesen, dass man zum Mailen nicht unbedingt eine CA braucht, - stimmt das?


    Das Zertifikat der öffentlichen Zertifizierungsstelle (CA) muss aber als Stammzertifikat im Zertifikatsspeicher von Thunderbird vorhanden sein, damit beim Signieren und Entschlüsseln von E-Mails das Benutzerzertifikat und beim Verschlüsseln und verifizieren von E-Mails das öffentliche X.509-Zertifikat von Thunderbird verifiziert werden kann.


    Was kann ich tun, damit ich ein S/MIMe (Benutzer-)Zertifikat in Thunderbird verwenden kann?
    Ohne "echte" Ausstellungsbehörde funktioniert die Signierung/Verschlüsselung nicht?

    Richtig.

    Könnt ihr mir bitte meine Codezeilen korrigieren, dass Thunderbird mir wieder die Mails verschlüsseln lässt?
    (Vielleicht ohne CA-Ausstellerzertikat und nur Benutzer-Zertifikat?)


    Verwende z.B. die E-Mail-Programme von MS.


    mfg Volker

    PGP Schlüssel auf öffentlichen Schlüsselservern
    PGP Key ID (RSA 1024): 0xBE556595
    MD5 Fingerprint: BE46 138F DF90 B019 CBF0 EE36 2F30 9775