HILFE: ich bin zu dumm om SMIME zu verwenden

  • Ich habe mit xca (ein Programm) ein Zertifikat erstellt. Und es dann als PCR#12 exportiert.


    Unter Account Settings > End-To-End Encryption > Manage S/MIME Certificates > Your Certificates habe ich mein PCR#12 Zertifikat hinterlegt:

    Wenn ich auf View gehe, sieht das Zertifikat wie folgt aus:


    Wenn ich aber dann wieder zurückgehe und auf "Personal certificate for (digital singning/encryption): Select" gehe, wirft er einen Fehler:


    Komisch. Ich habe trotzdem versucht eine neue Mail zu schreiben und bin dort auf den Tab "Security" gegangen. Alles bis auf "Do not encrypt" ausgegraut. Kann nichts auswählen. Dabei müsste ich ja meine Mail zumindest signieren können (fürs Verschlüsseln brauche ich natürlich den public key vom Anderen). Gehe ich bei Security ganz unten auf Info, erhalte ich folgendes Fenster (ich bin immer noch in der neuen Mail anlegen Rubrik):

    Ich habe folgende Probleme, wo ich hoffe, dass ihr mir helfen könnt:


    1. Wie stelle ich das Ganze so ein, dass es verschlüsselt/signiert wird? Was habe ich bisher falsch gemacht?

    2. Wie schicke ich der anderen Person ein Zertifikat, so dass sie mir auch verschlüsselte Mails verschicken?

    3. Wie stelle ich Thunderbird ein, dass jede Person automatisch mein Zertifikat bekommt, damit sie mir verschlüsselte Mails schicken können und wie stelle ich das Ganze ein, dass ich (falls ich ein Zertifikat o.ä. habe) immer automatisch verschlüsselte Mails verschicke?


    Vielen Dank, dass ihr euch die Zeit nehmt!


    PS! Ich habe versucht die Bilder möglichst zu anonymisieren. Falls mein Name oder irgendeine andere persönliche Information doch noch im Bild stehen sollte, dann seid bitte so lieb und informiert mich, damit ich das Bild bearbeiten kann, will gerne bei einer so dummen Frage anonym bleiben. Vielen Dank!

  • Thunder

    Approved the thread.
  • Also, Du willst S/MIME benutzen, nicht PGP. Du hast schon alles richtig gemacht, aber etwas stimmt mit Deinem Zertifikat nicht. Wenn Du es nicht selektieren kannst ("Certificate manager can't locate ..."), dann ist Dein Zertifikat für TB nicht gut genug. Wo hast Du die Dinger den her? Und sind die entsprechenden CAs auch installiert?


    Wenn ich mich richtig erinnere, sendet TB den öffentlichen Teil Deines Zertifikates mit, so das der Empfänger es benutzen kann (habe schon ewig kein S/MIME benutzt). Erwarte aber nicht, dass die Empfänger jetzt S/MIME verschlüsseln, denn dazu brauchten sie ihr eigenes Zertifikat, was schwer zu erlangen und installieren ist. Mit PGP ist das schon einfacher, weil man die Schlüssel selbst machen kann.

  • Was mir auf die Schnelle auffällt. Dein Zertifikat hat als Key-Usage nur Signieren, nicht Verschlüsseln. Dafür hat es unter extended wohl so ziemlich jede Eigenschaft, die man einem Zertifikat geben kann. Das ist Murks. Ob das zu dem geschilderten Verhalten führt, weiß ich nicht. Ich werde das auch nicht ausprobieren. Das ist mir zu viel Aufwand.

    Deine CA hast du nahezu völlig ausgeschwärzt. Da lässt sich somit nichts erkennen. Auch nicht, ob die überhaupt korrekt importiert ist und ihr vertraut wird.

    Was ich dir aus eigener Erfahrung sagen kann, das ist, dass man XCA gültige CAs und Zertifikate erstellen kann, die dann auch im Thunderbird funktionieren.


    Und noch eine Ergänzung. Ich sehe gerade, dass jorgk3 ebenfalls geantwortet und PGP angesprochen hat. Für private Zwecke würde ich stets PGP empfehlen. Das halt viele Vorteile.

    In der Berufswelt ist S/MIME das Maß der Dinge. Aber da kommst du mit einem selbst erzeugten Zertifikat nicht weit. Das wird in der Regel nicht akzeptiert.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)