Mit XCA erstellte Zertifikate lassen sich nicht verwenden

  • Hallo,

    ich habe mit dem Programm XCA mir selbst Zertifikate erzeugt und ausgestellt, und diese auch im Thunderbird Zertifikatsspeicher geladen. Wenn ich nun aber eine E-Mail unterschreiben und/oder verschlüsseln will, kommt die unten angehängte, meines Erachtens "falsche" Fehlermeldung, dass das Zertiifikat nicht gefunden werden kann oder ungültig ist. Beides trifft nicht zu. Das Zertifikat ist im Speicher und noch 10 Jahre gültig. Ich halte das für einen Fall von "nicht vorgesehener Fehler für den die nächstpassende Fehlermeldung ausgegeben wird".


    Oder hat das über XCA erstellte Zertifikat irgendeine Eigenschaft, die Thunderbird nicht mag, nicht kennt und deswegen diese Fehlermeldung ausgibt? Wer hat es schon geschafft sich über XCA in Thunderbird verwendbare Zertifikate auszustellen und wie ist er dabei vorgegangen?


    Vielen Dank

  • graba

    Approved the thread.
  • Oder hat das über XCA erstellte Zertifikat irgendeine Eigenschaft, die Thunderbird nicht mag, nicht kennt und deswegen diese Fehlermeldung ausgibt?

    Nein. Diese Zertifikate funktionieren einwandfrei, sofern sie richtig erstellt und importiert wurden. Grundsätzlich haben Zertifikate eine Eigenschaft, die ihren Verwendungszweck definiert. Die musst du bei der Erstellung angeben.

    Solltest du ein Zertifikat erstellt haben, das z.B. für die SSL-Verschlüsselung von Verbindungen gedacht ist, aber nicht für das Signieren und Verschlüsseln von E-Mails, so ist dieses Zertifikat dann natürlich für diese Zwecke nicht gültig.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Also ich habe für das Zertifikat jeden Zweck angeklickt, den ein Zertifikat haben kann. Es müsste demnach alles können. Oder war das der Fehler? Gibt es Zwecke, die andere ausschließen?

  • Gibt es Zwecke, die andere ausschließen?

    Nicht, dass ich jetzt aus dem Kopf wüsste. Aber, es ist absolut unüblich, ein Zertifikat eines Servers auch für die Verschlüsselung und das Signieren von E-Mails zu verwenden. Das sind einfach zwei doch sehr unterschiedliche Zwecke. Das eine identifiziert einen Server, das andere eine Person.

    Es gibt dazu im Thunderbird die Tabs Ihre Zertifikate, Personen, Server, ... . Gut möglich, dass dein Zertifikat an der falschen Stelle auftaucht. Außerdem muss bei selbsterstellten Zertifikaten natürlich auch die (deine) ausstellenden CA importiert werden. Das ist eine weitere Fehlerquelle.


    Kurzum, beginne ggf. von vorn: Erstelle eine CA. Mit dieser CA erstellst du ein Zertifikat, die nur für E-Mail gedacht sind. Dann die CA und das eigene Zertifikat in den Thunderbird importieren, Vertrauen aussprechen und dann sollte es funktionieren.

    Wenn dir das zu kompliziert ist, besorge dir ein Zertifikat von einer CA deines Vertrauens. Das ist einfacher, als es selbst zu erstellen.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Nun ja, das könnte es vielleicht sein. Dieses eine Zertifikat taucht sowohl bei meinen eigenen als auch bei Server auf. Vielleicht hakt es daran.

  • Dieses eine Zertifikat taucht sowohl bei meinen eigenen als auch bei Server auf.

    Nach deiner Beschreibung von oben sieht das richtig aus. Schließlich hast du es für beide Funktionen erstellt. Ich vermute eher, es liegt an deiner CA, falls du überhaupt eine erstellt hast. Es hilft nichts, du musst dich eingehender damit beschäftigen.

    Vielleicht wäre es doch besser, wenn du dir ein Zertifikat von einer offiziellen CA besorgst, anstatt es selbst zu erstellen. Das hätte nebenbei den Vorteil, dass die Clients deiner Empfänger es in den meisten Fällen automatisch akzeptieren, weil sie die CA bereits kennen. Deine eigene hingegen können sie noch nicht kennen.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)