Mailpartner schicken mir *.cer statt *.asc -- was nun?

  • Mailpartner schicken mir *.cer statt *.asc -- was nun?

    Hi Forum,

    jedes Mal wenn ich Mitarbeiter aus einer bestimmten Firma um ihren öffentlichen Schlüssel bitte, dann übersenden mir diese ein Zertifikat mit dem Namensmuster
    siehe Screenshot:


    Leider habe ich keine Ahnung, ob dieses Zertifikat nun

    1. den öffentlichen Schlüssel des betreffenden Mitarbeiters enthält, und falls ja,
    2. was ich mit dem Zertifikat anfange, insbesondere wie ich es in Enigmail importiere, so dass ich dem betreffenden Mitarbeiter eine verschlüsselte Mail schicken kann.

    Riesen Dank schonmal für alle Tipps, ob und wie ich solche Zertifikate in Thunderbird/Enigmail verwenden kann.

    Grüße David.P
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    Hi David,

    "David.P" schrieb:


    Leider habe ich keine Ahnung, ...

    Genau dafür habe ich mir die Mühe gemacht, und eine umfangreiche Abhandlung zu diesem Thema in den FAQ veröffentlicht. Schon gelesen?


    "David.P" schrieb:

    ...ob dieses Zertifikat nun

    1. den öffentlichen Schlüssel des betreffenden Mitarbeiters enthält, und falls ja,
    2. was ich mit dem Zertifikat anfange, insbesondere wie ich es in Enigmail importiere, so dass ich dem betreffenden Mitarbeiter eine verschlüsselte Mail schicken kann.


    zu 1.) Ja, es ist der öffentliche Schlüssel darin eingebettet.
    zu 2.) Es handelt sich um ein X.509-Zertifikat und der Absender verwendet S/MIME, so wie im Screenshot erkennbar.

    "David.P" schrieb:

    ... ob und wie ich solche Zertifikate in Thunderbird/Enigmail verwenden kann.

    Auch wenn es in letzer Zeit Entwicklungen gegeben hat, mit PGP-MIME einen Kompromiss zwischen den beiden Entwicklungszweigen der Mailverschlüsselung zu finden, so wird es wohl noch eine Weile bei der Zweigleisigkeit bleiben.
    - Firmen, Behörden und "Profis" nutzen S/MIME
    - hauptsächlich Privatpersonen nutzen GnuPG
    - beides mit fließenden Übergängen, es gibt also auch GnuPG nutzende Firmen, genau so wie die Zahl der S/MIME nutzenden Privatpersonen zunimmt. Thunderbird beherrscht S/MIME "von Hause aus".

    MfG Peter, der sich wieder etwas mehr Zeit gelassen hat :)
    Thunderbird 45.2.x, Lightning 4.7.x, openSUSE 13.2 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, unserer Doku und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    Also vielen Dank erstmal für die Antworten, insbesondere natürlich an Peter :flehan:

    Zunächst mal vorneweg, eigentlich halte ich (und meine Umwelt) mich für einen extremen Power User bezüglich PC und digitale Kommunikation... Seit vielen Jahren sind für mich Sachen wie papierloses Büro, Spracherkennung, Multitouch-Input, virtuelle Teams und Web-Kooperation usw. tägliche Selbstverständlichkeiten.

    Zudem verwende ich bereits seit Jahren mit bestimmten Kommunikationspartnern E-Mail-Verschlüsselung (GPG). Trotzdem muss ich sagen, dass ich nach wie vor geschätzte ca. 80 % der Anleitungen bezüglich Mailverschlüsselung nicht verstehe. Bezüglich des Themas S/MIME und Zertifikate liegt der Prozentsatz wahrscheinlich eher bei 95 %.

    Bei 99 % der arbeitenden bzw. PC-benutzenden Bevölkerung in- und außerhalb von Firmen dürften die Kenntnisse über Mailverschlüsselung dabei wahrscheinlich noch um einige Größenordnungen geringer sein :gruebel:

    Sorry, all diesen Sermon nur vorneweg, um einmal für die alten Verschlüsselungs-Hasen aus Nutzersicht zum Ausdruck zu bringen, dass das Thema "Mailverschlüsselung" für fast jeden PC-Nutzer ein derzeit nahezu unüberwindliches Hindernis darstellt. Ganz zu schweigen vom problemlosen täglichen Einsatz von Mailverschlüsselung, von der wir nach wie vor noch Lichtjahre entfernt sind. Dass manche "Kenner" dazu möglicherweise geneigt sind zu sagen "...und das ist auch gut so" (anderweitig in Foren so erfahren) ist allerdings eine Haltung, der ich nicht zustimmen möchte.

    Wie gesagt, dies natürlich an dieser Stelle nicht als Kritik, sondern nur als kleine Impression darüber, wie es zum Thema Verschlüsselung "dort draußen" in weiten Teilen tatsächlich aussieht :eek:

    Nach alledem aber zurück zum Thema des Threads...

    Ich verstehe nun, dass die besagte Firma offensichtlich S/MIME verwendet, und dass es sich bei den mir zugesandten *.asc-Dateien offenbar um X.509-Zertifikate handelt. Nach wie vor ist mir aber gänzlich unklar, ob und wie ich diese erhaltene Zertifikate nun einsetzen kann.

    Mache ich einen Doppelklick auf eine solche *.asc-Datei, dann öffnet sich das Zertifikat mit einem Button "Zertifikat installieren". Drücke ich da drauf, dann öffnet sich (in Windows XP) ein Zertifikats-Import-Assistent, der nach mehrmaligen Drücken von "Weiter" die eigentlich erfreuliche Meldung abgibt "Der Importvorgang war erfolgreich". :top:

    Was ich mit dem nun angeblich "erfolgreich importierten" Zertifikat (wohin auch immer dieses importiert wurde) anfangen kann, ist mir aber nach wie vor ein völliges Rätsel. :nixweiss:

    Ich vermute allerdings sehr stark, dass dieses "erfolgreich importierte" Zertifikat mir für die Mailverschlüsselung in Thunderbird soweit noch gar nichts nützt. Will ich mit diesem Hintergrund das Zertifikat mit dem Zertifikat-Manager nun aber in Thunderbird importieren, dann werden diverse Passwörter abgefragt, die ich natürlich nicht habe, und weshalb der Import in Thunderbird dementsprechend fehlschlägt.

    Schaue ich jetzt in die zugegebenermaßen äußerst ausführliche FAQ "Mailverschlüsselung mit S/MIME" (vermutlich aus Peters Feder), dann erkenne ich dort, dass anscheinend folgende Voraussetzungen für den Einsatz von S/MIME erfüllt sein müssen.

    Folgende Voraussetzungen müssen erfüllt sein:

    1. Der Absender muss im Besitz eines gültigen X.509-Zertifikates sein und dieses auch in Thunderbird installiert haben.
    2. Für die Empfänger müssen ebenfalls gültige Zertifikate installiert sein.
    3. Es müssen die Zertifikate der herausgebenden Zertifizierungsstellen installiert sein.
    4. Den Zertifikaten der Empfänger und der Herausgeber ist das Vertrauen ausgesprochen.

    Hier zeigt sich nun wieder, wie unermesslich weit der Wissensunterschied z.B. zwischen dem Verfasser der FAQ und mir als Möchtegern-Anwender ist.

    ad 1) Zunächst mal verstehe ich nicht, warum der Absender sein Zertifikat "in Thunderbird" installiert haben muss. In meinem Fall verwendet der Absender irgendeinen firmeninternes Mailsystem, keinesfalls jedoch Thunderbird. Insofern ist dieser Teil von Voraussetzung Nr. 1 wahrscheinlich hinfällig?

    ad 2) "Für die Empfänger müssen gültige Zertifikate installiert sein"
    Hier ist mir folgendes unklar:
    a) Wer sind "die Empfänger", bin das ich in diesem Fall?
    b) wo müssen die Zertifikate für die Empfänger installiert sein, beim Absender oder beim Empfänger, also bei mir -- oder bei beiden?

    ad 3) dito:
    a) Wo müssen die Zertifikate der Zertifizierungsstellen installiert sein, beim Absender, beim Empfänger oder bei beiden?
    b) Und warum sind "die Zertifizierungsstellen" hier im Plural -- weil auch "die Empfänger" im Plural ist, oder weil Absender und Empfänger unterschiedliche Zertifizierungsstellen verwenden könnten?

    ad 4)
    a)
    wer spricht den Zertifikaten von Empfänger und Herausgeber das Vertrauen aus, der Absender, oder ich als Empfänger, oder beide, oder noch wer anders und
    b) wie geht das?

    Bitte all dies wie gesagt nicht als Kritik verstehen, sondern nur als Ausdruck der für mich nach wie vor riesigen Hürden auf dem Weg zum täglichen Einsatz von Mailverschlüsselung... :nixweiss:

    Langer Rede kurzer Sinn, was müsste ich tun, damit ich dieses *.asc-Zertifikat meines Mailpartners im Thunderbird verwenden und diesem verschlüsselte Mails schicken kann?

    Thanks vielmals schonmal vorab :flehan:
    David.P
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    Hi David,

    mit Genuss habe ich deinen langen Beitrag gelesen :-).
    Und bis auf eine ganz kleine Nebensächlichkeit stimme ich dir auch speziell in deinem einleitendem Sermon auch vollständig zu. Die kleine, aber bedeutungsvolle Nebensächlichkeit: .asc = GnuPG und .cer, .der. pfx und p12 sowie pem sind Zertifikate bzw. Schlüsseldateien für S/MIME (X.509). Aber das sei dir verziehen.

    "David.P" schrieb:

    Zunächst mal vorneweg, eigentlich halte ich (und meine Umwelt) mich für einen extremen Power User bezüglich PC und digitale Kommunikation... Seit vielen Jahren sind für mich Sachen wie papierloses Büro, Spracherkennung, Multitouch-Input, virtuelle Teams und Web-Kooperation usw. tägliche Selbstverständlichkeiten.

    Hut ab! Ehrlich!


    "David.P" schrieb:

    Zudem verwende ich bereits seit Jahren mit bestimmten Kommunikationspartnern E-Mail-Verschlüsselung (GPG). Trotzdem muss ich sagen, dass ich nach wie vor geschätzte ca. 80 % der Anleitungen bezüglich Mailverschlüsselung nicht verstehe. Bezüglich des Themas S/MIME und Zertifikate liegt der Prozentsatz wahrscheinlich eher bei 95 %.

    Keine Sorge, da stehst du nicht allein.
    Ich selbst bin hier kein Maßstab, verdiene ich doch seit vielen Jahren mit dieser Problematik meine Brötchen. Aber die gesamte Problematik der sicheren Kommunikation stößt bei einem großen Teil unserer Bevölkerung auf taube Ohren. Leider trifft das auch immer noch auf viele Firmen zu. Und auch viele Nutzer, die ihre Mails verschlüsseln, wollen gar nicht wissen, was im Hintergrund passiert.
    Letzteres versuche ich zu beeinflussen, indem ich auf fast jeden Beitrag zu diesem Thema "anspringe".
    Ich selbst zitiere auch gern einen bekannten Berliner Politiker (weil ich seinen Spruch einfach mag, auch wenn ich diesen völlig aus dem Zusammenhang gerissen verwende!). Aber niemals in die Richtung, dass "wir Insider" dieses Wissen gepachtet haben und nur für uns verwenden wollen. Nein, ich möchte dieses Wissen breittragen.

    "David.P" schrieb:

    ... zum Ausdruck zu bringen, dass das Thema "Mailverschlüsselung" für fast jeden PC-Nutzer ein derzeit nahezu unüberwindliches Hindernis darstellt. Ganz zu schweigen vom problemlosen täglichen Einsatz von Mailverschlüsselung, von der wir nach wie vor noch Lichtjahre entfernt sind.

    Auch hier Zustimmung.
    Den Durchbruch können wir nur durch kryptografische Anwendungen erreichen, welche fast unbemerkt vom Nutzer arbeiten. Hier zwei Beispiele:
    1. Ich nenne hier gern das nette kleine Programm "Locknote" von Steganos. Das ist ein kleiner einfacher Texteditor, welcher ohne Installation funktioniert. Du kannst damit beliebige Texte (=> deine Passwortdatei!) eintippen. Und beim Beenden wirst du nach einem Passwort gefragt. Ein Doppelklick auf das Programm, und du wirst nach dem PW gefragt. Das Programm ist so klein, dass man es auch problemlos (samt Inhalt ...) per Mail hin- und her schicken kann.
    2. Hier muss meine "ehemalige Verlobte" herhalten. Sämtliche Mails, welche sie mir, den Kindern und einigen Freunden verschickt bzw. von ihnen empfängt - sind verschlüsselt! Dabei ist sie die reinste (Linux-)"Nutzerin". Sie bemerkt es nicht einmal, dass ihre Mails verschlüsselt sind! Thunderbird mit dem Add-on "Virtual Identity" und ein paar importierten Zertifikaten (die .cer der Empfänger) und einer (=> ihrer) Schlüsseldatei machen es möglich. Klar, ein "Wissender" muss das einmal eingerichtet haben.

    "David.P" schrieb:

    Ich verstehe nun, dass die besagte Firma offensichtlich S/MIME verwendet, und dass es sich bei den mir zugesandten *.asc-Dateien offenbar um X.509-Zertifikate handelt. Nach wie vor ist mir aber gänzlich unklar, ob und wie ich diese erhaltene Zertifikate nun einsetzen kann.

    Nur mit der bereits im TB eingebauten S/MIME-Funktionalität.

    "David.P" schrieb:

    Mache ich einen Doppelklick auf eine solche *.asc-Datei, dann öffnet sich das Zertifikat mit einem Button "Zertifikat installieren". Drücke ich da drauf, dann öffnet sich (in Windows XP) ein Zertifikats-Import-Assistent, der nach mehrmaligen Drücken von "Weiter" die eigentlich erfreuliche Meldung abgibt "Der Importvorgang war erfolgreich".

    Stimmt ja auch. Allerdings hast du damit mit Windows-Bordmitteln die Zertifikatsdatei "nur" in den Zertifikatsspeicher des Betriebssystems importiert. Mozilla-Produkte benutzen aber einen eigenen Zertifikatsspeicher, welcher völlig unabhängig von dem des Betriebssystems ist.
    Dieser Zertifikatsspeicher wird mit dem gleichen Passwort geschützt, welches auch für die Datei mit dem Mailpasswörtern angewendet wird => "Masterpasswort".

    Zuerst musst du dir von einem Trustcenter eine "Schlüsseldatei" beschaffen. Das ist dein eigenes Zertifikat, welches auch deinen eigenen "geheimen" Schlüssel beinhaltet. (Hast du schon eines? Reicht meine Anleitung in den FAQ?)
    Ich betone auch hier noch einmal: deinen geheimen Schlüssel produziert dein eigener Browser, er wird NICHT zum Trustcenter gesandt! Dorthin gehen nur dein öffentlicher Schlüssel und deine Nutzerdaten, die ja im Zertifikat stehen müssen.
    Mit diesem geheimen Schlüssel wirst du später deine Mails signieren und die mit deinem öffentl. Schlüssel verschlüsselten Mails entschlüsseln. (=> genau wie bei GnuPG!)
    Die Schlüsseldatei mit deinen eigenen Schlüsseln wird logischerweise nach "Ihre Zertifikate" importiert. Bei diesem Import benötigst du einmalig das Passwort, welches bei der Erstellung des geheimen Schlüssels selbst eingetippt hast.

    Die von deinen Mailpartnern erhaltenen Zertifikate (.cer, .der) importierst du nach "Zertifikate anderer Personen"

    Und jetzt kommt der große Unterschied zu GnuPG: Die zentrale Bereitstellung der Zertifikate. Wir nennen es auch "Vertrauenskette". Du vertraust dem Herausgeber, dass er die Person auf deren Namen das Zertifikat ausgestellt wurde, sicher identifiziert hat. Damit vertraust du automatisch, dass die Person, die eine Mail mit ihrem Zertifikat unterschrieben hat, auch wirklich identisch ist. Du vertraust also dem Zertifikat.

    Also musst du auch das so genannte Herausgeberzertifikat in den Zertifikatsspeicher importieren. Dieses findest du auf der Webseite des jeweiligen Trustcenters. Mit diesem Zertifikat prüft das Programm die Gültigkeit der Benutzerzertifikate.
    Diesem Zertifikat musst du unbedingt mit "Bearbeiten" dein Vertrauen aussprechen.
    ACHTUNG: bei den beliebten "Kostnix-Zertifikaten" ist das mit der Identifizierung der Personen natürlich nur theoretisch.
    Für Mailverschlüsselung sind diese Zertifikate selbstverständlich voll geeignet. Es gibt nur Abstriche bei der Gültigkeit der Signatur. Deshalb musst du auch derartige Herausgeberzertifikate manuell importieren und ihnen bewusst (!) das Vertrauen aussprechen.

    Damit hast du die Punkte 1-4 in der Anleitung abgearbeitet.

    "David.P" schrieb:


    ad 1) Zunächst mal verstehe ich nicht, warum der Absender sein Zertifikat "in Thunderbird" installiert haben muss. In meinem Fall verwendet der Absender irgendeinen firmeninternes Mailsystem, keinesfalls jedoch Thunderbird. Insofern ist dieser Teil von Voraussetzung Nr. 1 wahrscheinlich hinfällig?

    Wie oben schon beantwortet: Mit deinem eigenen geheimen Schl. entschlüsselst du erhaltene Mails und signierst die eigenen.
    Alles, was ich beschrieben habe trifft selbstverständlich nicht nur auf TB zu. Das mache ich mit Lotus Notes genau so wie mein Mailpartner mit Ausgugg. Es spielt auch keine Rolle, woher die Zertifikate kommen. Wichtig ist nur, dass du immer auch die Herausgeberzertifikate mit importierst. Viele Mailpartner => viele Herausgeber => viele Herausgeberzertifikate.

    "David.P" schrieb:


    ad 2) "Für die Empfänger müssen gültige Zertifikate installiert sein"
    Hier ist mir folgendes unklar:
    a) Wer sind "die Empfänger", bin das ich in diesem Fall?
    b) wo müssen die Zertifikate für die Empfänger installiert sein, beim Absender oder beim Empfänger, also bei mir -- oder bei beiden?

    Die Empfänger sind deine Mailpartner. Von ihnen benötigst du die Zertifikate mit den öffentlichen Schlüsseln. Mit denen verschlüsselst du die zu sendenden Mails.

    "David.P" schrieb:


    ad 3) dito:
    a) Wo müssen die Zertifikate der Zertifizierungsstellen installiert sein, beim Absender, beim Empfänger oder bei beiden?
    b) Und warum sind "die Zertifizierungsstellen" hier im Plural -- weil auch "die Empfänger" im Plural ist, oder weil Absender und Empfänger unterschiedliche Zertifizierungsstellen verwenden könnten?

    Jeder muss - an die richtige Stelle - sein eigenes Zertifikat+geh. Schlüssel (Schlüsseldatei .p12 oder .pfx) und die Zertifikate (.cer, .der) aller Mailpartner installieren. Und natürlich die Herausgeberzertifikate aller Herausgeber.
    Aber letztere sind hier bei uns in der Regel nur 3-4.

    "David.P" schrieb:


    ad 4)
    a)
    wer spricht den Zertifikaten von Empfänger und Herausgeber das Vertrauen aus, der Absender, oder ich als Empfänger, oder beide, oder noch wer anders und
    b) wie geht das?

    beide (wie beschrieben)

    "David.P" schrieb:

    Bitte all dies wie gesagt nicht als Kritik verstehen, sondern nur als Ausdruck der für mich nach wie vor riesigen Hürden auf dem Weg zum täglichen Einsatz von Mailverschlüsselung.

    Dann würde ich mich nicht eine Stunde hinsetzen und das hier tippen :)

    "David.P" schrieb:


    Langer Rede kurzer Sinn, was müsste ich tun, damit ich dieses *.asc-Zertifikat meines Mailpartners im Thunderbird verwenden und diesem verschlüsselte Mails schicken kann?

    Also, wenn die Frage jetzt immer noch steht ...
    ... zuerst einmal diesen Beitrag und meine FAQ ein zweites mal und vielleicht auch noch ein paar Beiträge anderer Verfasser (=> google) durchlesen.
    ... dich mit weiteren konkreten Fragen hier melden.


    MfG Peter
    Thunderbird 45.2.x, Lightning 4.7.x, openSUSE 13.2 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, unserer Doku und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    mann mann Peter,

    Was für ein Beitrag...

    Um das alles, was in Deinem Beitrag drinsteckt, aufzunehmen und zu verdauen bzw. umzusetzen werde ich noch einige Zeit brauchen. Daher nur an dieser Stelle erstmal Dank und großen Respekt.

    Besonders happy bin ich über die Übereinstimmung, die sich in Deinem Satz ausdrückt: "Den Durchbruch können wir nur durch kryptografische Anwendungen erreichen, welche fast unbemerkt vom Nutzer arbeiten" -- und sich damit in wohltuender Weise von anderweitig vertretenen Meinungen unterscheidet, die jedem, der nicht versteht, wie Verschlüsselung unter der Haube funktioniert, das Recht zu deren Einsatz absprechen wollen.

    Und den mit der "ehemaligen Verlobten" muss ich mir auch merken :D

    Ich werde mich dann an die Arbeit machen (ich meine natürlich bezüglich des Einlesens in S/MIME:)

    -- in diesem Sinne bis demnächst

    Grüße David.P
  • Hallo David.P, Hallo Peter_Lehmann,

    mit genüsslichem Schmunzeln lese ich diesen (doch recht langen) Thread!

    "David.P" schrieb:

    ...Bei 99 % der arbeitenden bzw. PC-benutzenden Bevölkerung in- und außerhalb von Firmen dürften die Kenntnisse über Mailverschlüsselung dabei wahrscheinlich noch um einige Größenordnungen geringer sein


    Wohl wahr!
    Daher freue ich mich immer wieder, wenn sich Anwender für Verschlüsselung interessieren { und nicht gleich an Verschwörung und Geheimdienst denken }!

    Leider hat sich auf diesem Gebiet des 'Sicherheitsempfindens' nicht wirklich viel geändert in den letzten Jahren.

    Ich war diese Woche in einer Firma in der das Leck welches der Conficker - Wurm (auch bekannt unter Downup, Downadup, Kido und Worm.Win32/Conficker) ausnutzt(e) *immer noch nicht* gepatcht ist. Dort sind mehrere Hundert Leute beschäftigt und die EDV ist zentraler Bestandteil der unternehmerischen Tätigkeit.
    Angesichts solcher Tatsachen brauchen wir uns in Deutschland nicht über Computersicherheit unterhalten ... :wall:

    GUT, daß es rühmliche Ausnahmen gibt! :cool:

    MfG ... Vic
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    Liebe Leute,

    also ich hab mir jetzt mal ein kostenloses S/MIME-Zertifikat beim Trustcenter beschafft :) und m.E. auch erfolgreich in den Thunderbird importiert:



    Ebenso habe ich das Stammzertifikat von der Trustcenter GmbH im Thunderbird installiert.

    A) Nun scheitere ich allerdings schon daran, dass ich jedes Mal, wenn ich beim Verfassen einer Nachricht unter S/MIME-Sicherheit "Nachricht verschlüsseln" anwähle, folgende Meldung von Thunderbird bekomme:



    Ich habe das Zertifikat aber doch bereits eingerichtet (und es eignet sich auch zur Verschlüsselung), wie man an dieser Anzeige von Thunderbird sieht:



    Was könnte ich denn nun noch tun, damit ich im Thunderbird mal eine Nachricht mit S/MIME verschlüsseln kann, ohne stattdessen obige Fehlermeldung zu bekommen?

    Außerdem hätte ich noch ein paar grundsätzliche Fragen zum Einsatz von S/MIME-Verschlüsselung....

    B) Ich habe mein Zertifikat mit Firefox erzeugt, und konnte damit die folgenden Formate für mein Zertifikat abspeichern:

    *.p7c
    *.der
    *.crt

    Die bisher erhaltenen Zertifikate meiner Mailpartner haben jedoch keine dieser Endungen, sondern lauten grundsätzlich auf

    *.cer

    Spielt das eine Rolle? -- insbesondere, weil ich selber nun kein Zertifikat mit derselben Dateiendung besitze, sondern nur die drei oben angegebenen? Oder kann ich vielleicht einfach das *.crt in ein *.cer umbenennen, und das dann meinen Mailpartnern schicken?

    C) Und wenn ich schlussendlich mein Zertifikat an meine Mailpartner versende, können die dieses dann problemlos importieren und zur Verschlüsselung verwenden? Spricht, ist das Stammzertifikat von der Trustcenter GmbH (das ja zusätzlich benötigt wird, um mein Zertifikat verwenden zu können) entsprechend weitverbreitet bzw. leicht zugänglich? Ich habe zum Beispiel kürzlich mit meinem Trustcenter-Zertifikat eine digital signierte PDF-Datei erzeugt. Beim Öffnen dieser Datei erscheinen jedoch unerfreuliche Meldungen, offenbar weil Adobe Acrobat dem Stammzertifikat von Trustcenter GmbH nicht traut:



    Ist das grundsätzlich normal, oder liegt das an dem kostenlosen Zertifikat, was nicht so recht taugt? Denn mit solchen Meldungen bezüglich "unbekannter Gültigkeit" und "nicht vertrauenswürdigem Aussteller" will ich Korrespondenzpartner (z.B. Rechnungsempfänger) ja nicht gerne irritieren.

    D) Und, erstmal letzte Frage: Kann ich mit S/MIME dann problemlos alle Arten von E-Mails ver- und entschlüsseln (Text, HTML, Mixed, Inline, mit Anhang usw.) -- ist das ganze also nicht so furchtbar problematisch wie bei PGP und den ganzen Inkompatibilitäten zwischen den verschiedenen Mailclients?

    Fragen über Fragen,
    und vielen Dank schonmal für alle Tipps,

    Grüße David.P
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    So also ein paar Fragen kann ich inzwischen selber schon beantworten ;)

    ad A)

    Anscheinend gehöre ich zu den ungefähr exakt drei Leuten weltweit, die in Thunderbird Konten mit mehreren Identitäten haben, und gleichzeitig S/MIME - Verschlüsselung verwenden wollen (denn es gibt lediglich zwei Google-Treffer zu meiner obigen Thunderbird-Fehlermeldung, einschließlich auf Englisch) :redface:

    Wie auch immer, in diesem Fall muss man nämlich die Thunderbird-Erweiterung "S/MIME Sicherheit für weitere Identitäten" verwenden, und das gewünschte Zertifikat nicht dem Mailkonto, sondern direkt der entsprechenden Mailidentität zuweisen -- dann klappt's auch mit der Verschlüsselung.

    ad D)

    Dementsprechend konnte ich mir gerade nun selber testweise eine S/MIME-verschlüsselte Nachricht zusenden, einschließlich HTML-Formatierungen, Inline-Bildern und Dateianhängen. Und was soll ich sagen: die angekommene und entschlüsselte Mail wird mit allem drum und dran einwandfrei dargestellt :)

    ad B) & C)

    Bleiben für mich derzeit somit noch die obigen Fragen B und C offen.

    Zur Frage C) gleich noch eine kleine Ergänzung C'): Ich hatte mir gerade auch schon ein selbstsigniertes Zertifikat ausgestellt (mit der Firefox-Erweiterung "Key Manager"). Mit diesem Zertifikat kann ich offenbar auch problemlos ausgehende Mails verschlüsseln (Unterschreiben geht damit allerdings nicht).

    C')
    Spricht nun irgendwas dagegen, dass ich meinen Mailpartnern das selbstsignierte Zertifikat zusende und einfach dieses für die verschlüsselte Mailkommunikation verwende?

    Sorry für den vielen Text,
    nochmals vielen Dank vorab für alle Tipps,

    Grüße David.P
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    Hi David,

    im Prinzip hast du alles richtig gemacht ... .
    Leider kann ich es nicht kontrollieren, denn du hast ja aus guten Grund einige Angaben anonymisiert.

    Ich gehe also mal davon aus, dass du jetzt im Zertifikatsmanager unter "Ihre Zertifikate" einen Eintrag in folgender Form hast:

    Brainfuck-Quellcode

    1. TC TrustCenter GmbH
    2. Vorname Name.........Mailadresse...............Software Sicherheitsmodul..........lange HexZahl...................Gültig bis

    Und auch dass sowohl der angezeigte Name und die Mailadresse mit den Daten in deinem Mailkonto übereinstimmen.
    In dem unter Konto > S/MIME-Sicherheit eingetragenen Zertifikat ist auch wieder dein Name und deine Mailadresse zu sehen.
    OK?

    Und jetzt kommt es darauf an, dass du unter "Zertifizierungsstellen" auch wirklich die richtigen Herausgeberzertifikate importiert und diesem auch das Vertrauen ausgesprochen hast. Du kannst das ganz einfach feststellen, indem du bei deinem Zertifikat auf Ansehen > Details gehst. Es müssen dort insgesamt drei Zertifikate stehen, wovon bei den beiden Herausgeberzertifikaten jeweils mindestens der Haken bei "Mail" (besser alle drei) gesetzt ist.
    Da das TC recht viele Herausgeberzertifikate besitzt (und das ist auch gut so!), musst du beim Import dieser genau aufpassen. Mein Tipp: hole dir alle, die auf der Webseite stehen. Dann kannst du nichts falsch machen - und schaden kann es keinesfalls.

    Ich habe mir auch ein Zertifikat von der Konkurrenz "geleistet", da sieht es so aus:

    Brainfuck-Quellcode

    1. TC TrustCenter Class 1 CA - TC Trustcenter for Security ... GmbH...................drei Haken
    2. ... TC TrustCenter Class 1 L1 CA VI...............................................................drei Haken
    3. ........Mein Name

    Die Vertrauenskette von oben nach unten muss "stimmig" sein! Das ist es aber automatisch, wenn du alle Herausgeberzertifikate importiert hast. Bei dir muss natürlich dann beim zweiten "TC TrustCenter Class 1 L1 CA IX" stehen, genau wie in deinem Zertifikat.

    Dann müsste eigentlich alles funktionieren.



    "David.P" schrieb:


    Außerdem hätte ich noch ein paar grundsätzliche Fragen zum Einsatz von S/MIME-Verschlüsselung....
    *.p7c
    *.der
    *.crt

    Die bisher erhaltenen Zertifikate meiner Mailpartner haben jedoch keine dieser Endungen, sondern lauten grundsätzlich auf
    *.cer

    Nein, das spielt keine Rolle.
    Die genannten Endungen stehen nur für die unterschiedlichen Speicherformate des gleichen Zertifikatsinhalts. Wenn der Anwender das Zertifikat importieren kann spielt die Endung für die Datei keine Rolle. Selbst der Empfänger könnte noch nachträglich durch Import in den Zertifikatsspeicher des Betriebssystems und anschließendem Export in sein geignetes Format dieses jederzeit ändern. Er kann sich ja auch jederzeit das Zertifikat (= die "öffentlichen Bestandteile") vom jeweiligen Trustcenter herunterladen. Was viel wichtiger ist, du solltest ihm netterweise auch gleich die beiden Herausgeberzeritifikate mitschicken, damit er nicht erst suchen muss.
    Und ganz wichtig: Niemals die Schlüsseldateien .pfx oder .p12 bzw. .pem aus der Hand geben ... .
    NB: Ein einfaches Umbenennen .crt in .der wird meistens auch anstandslos geschluckt.

    "David.P" schrieb:


    C) Und wenn ich schlussendlich mein Zertifikat an meine Mailpartner versende, können die dieses dann problemlos importieren und zur Verschlüsselung verwenden? Spricht, ist das Stammzertifikat von der Trustcenter GmbH (das ja zusätzlich benötigt wird, um mein Zertifikat verwenden zu können) entsprechend weitverbreitet bzw. leicht zugänglich?

    Ich schreib ja schon: besser gleich mitschicken ... .
    Die Herausgeberzertifikate aller gängigen Trustcenter sind immer leicht öffentlich zugänglich. Das ist Grundlage bei den X.509-Zertifikaten.
    Das Problem ist aber nur, das richtige Z. zu erwischen ... (s. oben).

    "David.P" schrieb:


    Ich habe zum Beispiel kürzlich mit meinem Trustcenter-Zertifikat eine digital signierte PDF-Datei erzeugt. Beim Öffnen dieser Datei erscheinen jedoch unerfreuliche Meldungen, offenbar weil Adobe Acrobat dem Stammzertifikat von Trustcenter GmbH nicht traut:

    Und das ist auch gut und richtig so! (Oh, wie oft habe ich das hier schon geschrieben ... .?)
    Ein Trustcenter garantiert dir, dass die Identität der in einem nach SigG produzierten Zertifikat bei der persönlichen Registrierung durch Vorlage eines gültigen Personalausweises/Reisepasses genau überprüft wurde. (==> Personal, Zeitaufwand, Kosten!)
    Deshalb kannst du dich als Empfänger eines signierten Dokumentes darauf verlassen, dass:
    - der in der Signatur stehende Name auch wirklich der des Absenders ist (Authentizität),
    - und die Nachricht nach dem Absenden nicht verändert/manipuliert wurde (Integrität).

    Ein Kostnix-Zertifikat gewährleistet selbstverständlich die Überprüfung der Identität des Dokumentes. Aber niemals die Authentizität des Absenders! Und nur deswegen dürfte eigentlich kein Herausgeberzertifikat derartiger ohne Personenidentifizierung hergestellter Zertifikate gleich "von Hause aus" in die Anwendungen eingebaut werden. Und wenn ein Anwender bewusst derartige Herausgeber als vertrauenswürdig einstuft, dann weiß er, was er getan hat. Sachlich steht da überhaupt nichts dagegen, der Anwender muss es nur bewusst getan haben - und sich dessen auch immer bewusst sein.
    Der Acroreader ist hier genau so ein Programm, welches die Zertifikate auswertet, wie der Thunderbird. Wenn er die richtigen Herausgeberzertifikate vorfindet, und denen auch das Vertrauen ausgesprochen wurde, meckert er auch nicht mehr.

    Wenn du gesetzlich verpflichtet bist, elektronisch versandte Rechnungen usw. mit einer el. Signatur zu versehen, dann wird dir dein Kostnix-Zertifikat garantiert nichts nutzen. Im Gegenteil, du stiftest nur Verwirrung ... .

    "David.P" schrieb:


    D) Und, erstmal letzte Frage: Kann ich mit S/MIME dann problemlos alle Arten von E-Mails ver- und entschlüsseln (Text, HTML, Mixed, Inline, mit Anhang usw.) -- ist das ganze also nicht so furchtbar problematisch wie bei PGP und den ganzen Inkompatibilitäten zwischen den verschiedenen Mailclients?

    Hier die gute Nachricht:
    ALLES, was sich im Mailbody befindet, wird bei der S/MIME-Verschlüsselung in einen einzigen .p7m-Container gepackt und beim Empfänger wieder entschlüsselt. Bitgenau, denn sonst würde die Signaturprüfung ja eine Fehlermeldung bringen. Es spielt also keine Rolle, ob Text oder Klickibunti, mit oder ohne Anhänge.
    Und jeder Mailclient, bei dem S/MIME sachgerecht implementiert ist, kann diese Mails auch entschlüsseln und die Signatur prüfen.

    MfG Peter

    edit: Jetzt habe ich mir viel Zeit gelassen mit der Antwort, ich schicke es ab, wie es ist ... .
    Thunderbird 45.2.x, Lightning 4.7.x, openSUSE 13.2 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, unserer Doku und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    So, obwohl ich weiß, dass man seine Beiträge auch editieren kann und sollte, ergänze ich mit einem weiteren Beitrag :)

    zu A)
    manchmal ist es gut, solche "Kleinigkeiten" (mehrere Identitäten) gleich bei der Frage mit zu bringen ... .

    zu B/C)
    Meine Empfehlung für die Herstellung eigener Zertifikate ist das Programm "XCA"!
    Dieses Linuxprogramm wurde mittlerweile auch für die WinDOSe portiert und ist für mich das private CA-Programm!
    Du kannst dir sowohl Vorlagen (Templates) für jede Art von Zertifikaten (diverse Server, Clients, S/MIME, CA usw.) anlegen, als auch die Zertifikate und Schlüsseldateien in den verschiedensten Formaten und auch Bestandteilen exportieren. Es beinhaltet auch eine komplette Benutzerverwaltung, die Herausgabe von Sperrlisten usw.
    Ich erstelle auf diesem Programm (bei unter für private Maßstäbe extremen Sicherheitsanforderungen!) jedes Jahr mehrere Hundert Schlüsseldateien für Familie, Freunde, Usern aus mehreren Foren usw. Ich staune manchmal selbst, welche Kreise das zieht ... .

    Und: Ich exportiere meine Schlüssel und Zertifikate so, dass sich immer in der Datei auch gleich meine beiden Herausgeberzertifikate befinden (PCA und Jahres-CA). Das bedeutet, wenn ein User ein Zertifikat von mir erhält, hat er nach dessen Import auch gleich die Herausgeberzertifikate mit importiert. Vertrauen aussprechen und fertig.

    Für die verschlüsselte Mailkommunikation sind diese Zertifikate und Schlüssel völlig ausreichend. (Ich benutze sogar 4K-Schlüssel, was ggw. extrem übertrieben ist ... .) Du wirst ja wohl niemals mit einer völlig unbekannten Person eine verschlüsselte Mailkommunikation beginnen. Also kannst du dem zukünftigen Empfänger eine signierte Mail schicken, und schon hat er deinen öffentlichen Schlüssel (dein Zertifikat). Dann kannst du ihm persönlich oder auf anderem geeigneten sicheren Weg (meinetwegen auf CD per Post) seine Schlüsseldatei zukommen lassen. Das Export-Passwort Tage später telefonisch ausgetauscht, wenn es stimmt, ist auch gleich gesichert, dass alles "echt" ist. Das spart sogar den Austausch des Fingerprints. (Wir sind ja hier nicht "auf Arbeit" ... .)

    Und noch ein Tipp:
    Mit dem Add-on "Virtual Identity" ist ein alter Wunsch von mir in Erfollung gegangen!
    Du kannst hier zu jeder Empfängeradresse (neben vielen anderen Optionen!) festlegen, ob die Mails verschlüsselt und/oder signiert werden. Einmal eingestellt (abgefragt beim Senden) bleibt das "ewig" so, und du kannst diese Einstellungen nie wieder vergessen. Auf diese Weise verschlüsselt z. Bsp. meine Frau, eine reine Userin, alle Mails an mich und viele andere Personen, ohne dass ihr das überhaupt bewusst ist. Das ist echt komfortabel!

    So, nun reichts für heute :)

    MfG Peter
    Thunderbird 45.2.x, Lightning 4.7.x, openSUSE 13.2 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, unserer Doku und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    Hallo Peter und ganz vielen Dank für die extrem ausführlichen und hilfreichen Antworten!

    Vielen Dank insbesondere für den Hinweis auf XCA!

    Und: Ich exportiere meine Schlüssel und Zertifikate so, dass sich immer in der Datei auch gleich meine beiden Herausgeberzertifikate befinden (PCA und Jahres-CA). Das bedeutet, wenn ein User ein Zertifikat von mir erhält, hat er nach dessen Import auch gleich die Herausgeberzertifikate mit importiert. Vertrauen aussprechen und fertig.

    Das ist allerdings unglaublich praktisch! Damit grenzt die Einfachkeit der Verwendung von S/MIME zur Mailverschlüsselung ja schon an diejenige von PGP?

    Mit XCA habe ich mir gerade auf Anhieb ein erstes Zertifikat erzeugt. Nur weiß ich nicht genau, ob ich die zahlreichen Einstellungen alle richtig gemacht habe.

    Gibt es hierzu vielleicht irgendwo eine ausführliche Anleitung, abgesehen von dem etwas knappen Hilfetext?

    Die Eigenschaften meines zu erstellenden Zertifikats sollten möglichst die folgenden sein:

    • Es sollte eine möglichst längere Gültigkeit als nur ein Jahr haben, um meinen Mailpartnern möglichst wenig Aufwand zu machen
    • Es sollte die Herausgeberzertifikate enthalten, wie von Dir oben geschrieben
    • Es sollte möglichst wenig unnötige Informationen und Funktionen enthalten (wird lediglich zum Verschlüsseln von Mails verwendet, ggf. auch zum Unterschreiben von Mails -- falls das überhaupt geht)
    • Es sollte das optimale Format bzw. die richtigen Eigenschaften haben, um vom Mailpartner problemlos importiert und verwendet werden zu können (in meinem Fall ist die Gegenseite ein serverbasiertes Verschlüsselungssystem, nämlich J.U.L.I.A von der Firma I.C.C Solutions)

    Was müsste ich wohl für Einstellungen wählen, um für diese Verwendung ein optimales Zertifikat zu erzeugen?

    Bei XCA ist mir insbesondere in den Feldern...

    - Signatur-Algorithmus
    - Vorlage für das neue Zertifikat
    - Grundbeschränkungen
    - Zeitspanne
    - Key Usage, Extended Key Usage
    - Netscape und
    - Exportformat (beim Zertifikatsexport)

    ...noch nicht klar, welche Optionen ich jeweils wählen sollte.

    Grüße David.P
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    Hi David,

    du willst es noch einfacher haben?
    IMHO ist S/MIME bereits einfacher zu handhaben und auch komfortabler als GnuPG. Aber ich will ja den uralten "Streit" der Vertreter der beiden Richtungen nicht wieder aktivieren. Wir wollen und müssen ja zusammenarbeiten, wenn wir unsere Privatsphäre noch eine Weile erhalten wollen. Noch dürfen wir in Deutschland unsere privaten Mails verschlüsseln. Keiner weiß, wie lange noch ... .

    Ich halte mich natürlich (privat: freiwillig) weitestgehend an die Vorgaben, die für uns beruflich Gesetz sind:
    - Gültigkeit eines Softwaretoken mit den Eigenschaften zur Signatur: ein Jahr. (Nur Chipkarten 3- max. 5 Jahre)
    - Einschränkung der Zertifikate auf die zu nutzenden Funktionen (SSL-, S/MIME- oder sonstiges Zertifikat, Verschlüsselung und/oder Signatur usw.)
    - Klare Anmerkungen im Zertifikat, die Verwendung und die Einschränkungen betreffend
    - eine PCA mit längerer Gültigkeit (15 Jahre), jährlich eine Jahres-CA (2 Jahre)

    Die Gültigkeit kannst du frei einstellen. Niemand hindert dich daran, die Userzertifikate länger gültig zu lassen. (Die GnuPG-Fraktion begrenzt ja die Gültigkeit ihrer Schlüssel auch so gut wie nie ... .)

    Wichtig ist, dass du zumindest im "Netscape-Zertifikat-Kommentar" eine Anmerkung in folgender Art einträgst:
    "XCA generatet Certificate. Nur für private Anwendungen und einfache Signaturen". Dient zur eigenen Absicherung.
    Und du solltest dir auch der Verantwortung bewusst sein, dass du mit deiner Zertifizierung bestätigst, dass dort wo "Meier" drauf steht, auch "Meier" drin sein sollte. Du solltest dir also schon sicher sein, dass die im Zertifikat eingetragenen cn der Realität entsprechen - auch, wenn du dich mit dem o.g. Eintrag von jeder Verantwortung freisprichst.

    Du kannst mir gern in einer PN deine Mailadresse zukommen lassen. Ich schicke dir dann per Mail meine Templates, die du dann nur noch etwas umkonfigurieren musst. Zumindest können sie dir als Anhalt dienen.

    MfG Peter
    Thunderbird 45.2.x, Lightning 4.7.x, openSUSE 13.2 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, unserer Doku und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    Aalso ich bin's wieder. Ich will jetzt mal Butter bei die Fische machen und mir ein richtig schönes Zertifikat erstellen.

    Die Anforderung ist wie gesagt ausschließlich Mailverschlüsselung (wobei der Mailpartner auf seiner Seite das serverbasierte System "Julia Mail Office" verwendet, falls dies von Bedeutung ist).

    Dabei soll das Zertifikat vor allem auch die praktische Eigenschaft aufweisen, die Peter wie folgt beschrieben hat:

    "Peter_Lehmann" schrieb:


    Ich exportiere meine Schlüssel und Zertifikate so, dass sich immer in der Datei auch gleich meine beiden Herausgeberzertifikate befinden (PCA und Jahres-CA). Das bedeutet, wenn ein User ein Zertifikat von mir erhält, hat er nach dessen Import auch gleich die Herausgeberzertifikate mit importiert. Vertrauen aussprechen und fertig.

    Darunter stelle ich mir vor, dass ich dem Mailpartner also lediglich eine einzige Datei in Form eines solchen Zertifikats mit integrierter Zertifikatskette (oder wie das heißt) schicke, die dieser in sein System importieren kann, und anschließend kann gleich verschlüsselt gemailt werden, bis die Drähte glühen...

    Unten also mal illustriert, was ich bisher gemacht habe.

    Zunächst die Details des Zertifikats:


    (Status)


    (Besitzer)


    (Aussteller)


    (Erweiterungen)

    Dann habe ich das Zertifikat als "PKCS #12 with Certificate chain" exportiert:


    (Export)

    Daraufhin werde ich nach einem Passwort gefragt, dessen Bedeutung mir noch nicht klar ist:


    Passwortabfrage

    Wie kommt es, dass ausgerechnet das Format "PKCS #12" hier ein Passwort benötigt, während beim Export in anderen Formaten kein Passwort abgefragt wird?

    Wenn ich mir dann das fertig exportierte Zertifikat anschaue, bekomme ich hier ein "Nicht vertrauenswürdig" angezeigt:


    (Details des exportierten PKCS #12-Zertifikats)

    Woran liegt das, bzw. kann ich irgendwie beheben, dass hier die Unterschrift als nicht vertrauenswürdig und der Unterzeichner als unbekannt angezeigt wird? Oder macht das der Empfänger, indem er meinem Zertifikat das Vertrauen ausspricht? Oder habe ich selber die Zertifikatskette vergessen (falls ja, wie erzeuge ich diese und bringe sie in dem Zertifikat unter?)

    Zusammenfassend hätte ich also momentan die folgenden Fragen:

    1. Habe ich beim Erstellen des Zertifikats alles richtig gemacht und nichts vergessen?
    2. Warum wird beim PKCS #12-Export das Passwort abgefragt?
    3. Wie kriege ich die Probleme mit der mangelnden Vertrauenswürdigkeit weg?
    RIESEN Dank schonmal für alle Tipps in dieser Hinsicht,

    Grüße David.P
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    Hi David,

    zuerst einmal hoffe ich für dich, dass die in den Bildern eingetragenen Daten ausschließlich Dummies sind, denn sonst bekommst du bestimmt bald unerwünschte Post ... .

    Das System "Julia Mail Office" kenne ich zwar nicht, aber gemäß deren Webseite sollte es damit problemlos funktionieren (wobei ich eine End-to-End-Verschlüsselung eindeutig einer Serverbasierten Lösung vorziehe).

    Was du falsch gemacht hast?
    Wenn ich das richtig sehe, dann hast du lediglich ein einziges selbst signiertes Zertifikat erzeugt und dieses exportiert. Dieses ist für die Anwendung immer nicht vertrauenswürdig!

    Lösung:
    Zuerst ein Root-Zertifikat für eine CA herstellen
    Diese Root-CA zertifiziert entweder gleich die Nutzerzertifikate, oder - wie im professionellen Bereich üblich - nur die einzelnen Jahres-CA.
    Dann die Jahres-CA erzeugen und diese von der root-CA zertifizieren lassen.
    Und jetzt erstellst du die einzelnen Nutzer-Zertifikate und zertifizierst diese mit der jeweils gültigen Jahres-CA.

    Zum Schluss exportierst du die Zertifikate.
    - das Zertifikat der root-CA (nur den öffentlichen Teil, cer oder der, ohne Passwort!)
    - wenn vorhanden das Zertifikat der Jahres-CA - " -
    - die Zertifikate der Nutzer, wie oben, zur Übergabe an die "anderen"
    - die Schlüsseldatei, ausschließlich zur eigenen Verwendung für den Inhaber, als .pfd oder .p12, weil mit secret-key mit Passwort

    Die Schlüsseldatei kannst du so exportieren, dass die beiden Herausgeberzertifikate gleich mit in den Container übernommen werden. Das bedeutet, dass nach Import der pfx-Datei gleich die Herausgeberzertifikate mit importiert werden.
    Importiert heißt aber keinesfalls, dass damit das Aussprechen des Vertrauens entfallen kann! Du spartst dir lediglich den vorherigen Import dieser Zertifikate.

    MfG Peter
    Thunderbird 45.2.x, Lightning 4.7.x, openSUSE 13.2 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, unserer Doku und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    Hallo Peter und danke für die Infos.

    Ich bin allerdings zu blöd. Trotz inzwischen "gefühlt wochenlanger" Beschäftigung mit dem Thema schaffe ich es nicht, mir diesen "All in One-Schlüssel" zu erstellen, den ich dann an meinen Mailpartner geben kann und fertig.

    Du kannst Dir diese Probleme wahrscheinlich gar nicht vorstellen, da Du soviel ich weiß beruflich täglich mit diesen Dingen zu tun hast. Für einen einfachen User wie mich ist das Ganze aber nach wie vor ein nahezu undurchdringbares Rätsel.

    Es fängt schon damit an, dass mir die Begriffe nicht klar sind.
    (Fettdruck unten nur der besseren Übersicht halber)

    Was bedeutet zum Beispiel CA -- ist das eine Abkürzung für "Certificate" oder für "Certificate Authority"?

    Falls es Letzteres ist, was ist in diesem Fall die von Dir genannte "Root-CA"? Ich hätte eigentlich gedacht, das ist ein "Wurzelzertifikat", in diesem Fall wäre es aber eine "Wurzel-Zertifikatsbehörde", und was würde das dann bedeuten...?

    Wie stelle ich also "ein Root-Zertifikat für eine CA" her. Ich habe es mit der Vorlage "[default] CA" versucht, die ganzen persönlichen Daten eingetragen, ansonsten nichts verändert und das Zertifikat als *.crt exportiert. Schau ich mir dieses an, dann steht dort schon wieder "Unterzeichner unbekannt, nicht vertrauenswürdig". Dasselbe in einem Nutzerzertifikat, welches mit diesem von mir erstellten Root-Zertifikat unterschrieben ist: "Unterzeichner unbekannt, nicht vertrauenswürdig". Habe ich hier wieder was falsch gemacht, oder ist das normal, weil niemand den Zertifikaten Vertrauen ausgesprochen hat....?

    Weiter im Text schreibst Du "Diese Root-CA zertifiziert entweder gleich die Nutzerzertifikate [...]. Hier fehlt es bei mir schon wieder an den Grundlagen (Du greifst Dir wahrscheinlich an den Kopf): was heißt "zertifiziert", für mich bei der Erstellung des Nutzerzertifikats?

    Bedeutet das, dass ich bei der Zertifikatserstellung mit XCA, im Tab "Herkunft" im Feld "Verwende dieses Zertifikat zum Unterschreiben" dann mein vorher erstelltes Root-Zertifikat auswähle -- oder meinst Du mit "Diese Root-CA zertifiziert" etwas ganz anderes?

    Schließlich, der Export der Schlüsseldatei. Wenn ich im Tab "private Schlüssel" auf "Export" gehe, dann wird mir der Export als .pfd oder .p12 gar nicht angeboten, nur "PEM" oder "DER". Nur im Tab "Zertifikate" kann ich überhaupt den Export als .pfd oder .p12 auswählen. Aber dann wird ja nicht gemäß Deiner Anleitung die Schlüsseldatei, sondern das ganze Zertifikat exportiert. Wie exportiere ich also ordnungsgemäß die Schlüsseldatei?

    Und wie gelange ich an mein eigentliches Ziel, die Umsetzung dieses Teils Deiner Anleitung: "Die Schlüsseldatei kannst du so exportieren, dass die beiden Herausgeberzertifikate gleich mit in den Container übernommen werden. Das bedeutet, dass nach Import der pfx-Datei gleich die Herausgeberzertifikate mit importiert werden."

    Hier verstehe ich zunächst nicht, warum ich eine "Schlüsseldatei" exportiere (also offenbar nicht ein "Zertifikat"), um diese dem Mailpartner zuzusenden. Unabhängig davon ist mir aber auch nicht klar, wie ich diese Schlüsseldatei einschließlich der Zertifikatskette exportiere?(...also in welchem Tab von XCA, und mit welchem der gelisteten Exportformate).

    Bitte entschuldige nochmals die vielen dummen Fragen. Für Dich sind das vermutlich alltägliche Kleinigkeiten -- für mich immer noch unüberwindliche Hindernisse.........

    Viele Grüße David.P

    PS: Die Daten von Ben-Utzer und seiner Firma in den Screenshots sind natürlich fiktiv ;)
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    Hi David,

    "David.P" schrieb:

    Was bedeutet zum Beispiel CA -- ist das eine Abkürzung für "Certificate" oder für "Certificate Authority"?

    Certificate Authority
    Also die Stelle, welche Zertifizierungen vornehmen darf.
    Zertifizierung bedeuteet hier, die elektronische Signatur der Userangaben, dessen öffentl. Schlüssels usw.

    "David.P" schrieb:

    Falls es Letzteres ist, was ist in diesem Fall die von Dir genannte "Root-CA"? Ich hätte eigentlich gedacht, das ist ein "Wurzelzertifikat", in diesem Fall wäre es aber eine "Wurzel-Zertifikatsbehörde", und was würde das dann bedeuten...?

    Im realen Leben ist das wirklich oftmals eine Behörde (z. Bsp. für die Bundesverwaltung das BSI).
    "Root-CA" und "Wurzelzertifikat" ist im Prinzip das gleiche. Es ist die CA, die mit ihren "Wurzelzertifikat", die Signatur aller darunter stehenden Zertifikate vornimmt. In einem richtigen Trustcenter ist diese oftmals körperlich getrennt und besonders gesichert. Denn, wenn das "Wurzelzertifikat" kompromittiert wurde, kann das Trustcenter dicht machen. Dann wird wohl nie wieder jemand von denen ein Zertifikat kaufen wollen ... .
    Bei dir (und mir privat) läuft das natürlich alles auf einer Kiste bzw. in einem Programm.

    "David.P" schrieb:

    Wie stelle ich also "ein Root-Zertifikat für eine CA" her. Ich habe es mit der Vorlage "[default] CA" versucht, die ganzen persönlichen Daten eingetragen, ansonsten nichts verändert und das Zertifikat als *.crt exportiert. Schau ich mir dieses an, dann steht dort schon wieder "Unterzeichner unbekannt, nicht vertrauenswürdig". Dasselbe in einem Nutzerzertifikat, welches mit diesem von mir erstellten Root-Zertifikat unterschrieben ist: "Unterzeichner unbekannt, nicht vertrauenswürdig". Habe ich hier wieder was falsch gemacht, oder ist das normal, weil niemand den Zertifikaten Vertrauen ausgesprochen hat....?

    Das Root- oder Wurzelzertifikat ist immer selbst signiert (selbst beim BSI).
    Es hat eine längere Gültigkeit (10-15 Jahre), und es stehen auch keine persönlichen Daten drin, sondern eben die "der Firma".
    Dieses Zertifikat dient ausschließlich der Signatur (wenn vorhanden bzw. gewollt) weiterer Unter-CAs (Jahres-CA), der Nutzer-Zertifikate und evtl. der Sperrlisten.
    Das Vertrauen in dieses Wurzelzertifikat muss der Nutzer bewusst einstellen! => Bearbeiten, Haken setzen. Das ist der so genannte "Vertrauensanker". Erst wenn dieses einmalige Einstellen des Vertrauens erfolgt ist, werden auch alle darunter liegenden Zertifikate als vertrauenswürdig anerkannt.
    Bei den etablierten Trustcentern übernimmt das Einstellen des Vertrauens der Hersteller des Browsers oder Mailclients. Deshalb stehen da schon so viele drin.

    "David.P" schrieb:

    Weiter im Text schreibst Du "Diese Root-CA zertifiziert entweder gleich die Nutzerzertifikate [...]. was heißt "zertifiziert", für mich bei der Erstellung des Nutzerzertifikats?

    Zertifizieren heißt, dass du durch das ausgewählte Herausgeber- oder Wurzelzertifikat die weiteren Zertifikate unterschreibst.
    Bei XCA ganz einfach gelöst: Du wählst das auf der erste Seite bei einem neuen Zertifikat einfach aus. Mehr ist das nicht. Wenn du dann zum Schluss auf OK drückst, wird das neue Zertifikat durch das ausgewählte Zertifikat signiert (=zertifiziert).
    Hast es ja selbst erkannt:

    "David.P" schrieb:

    Bedeutet das, dass ich bei der Zertifikatserstellung mit XCA, im Tab "Herkunft" im Feld "Verwende dieses Zertifikat zum Unterschreiben" dann mein vorher erstelltes Root-Zertifikat auswähle --


    "David.P" schrieb:

    Wie exportiere ich also ordnungsgemäß die Schlüsseldatei?

    So, wie du beschrieben hast:
    Nur im Tab "Zertifikate" kann ich überhaupt den Export als .pfd oder .p12 auswählen. Aber dann wird ja nicht gemäß Deiner Anleitung die Schlüsseldatei, sondern das ganze Zertifikat exportiert.
    Schlüsseldatei = Zertifikat + privater Schlüssel., Format .pfx oder .p12
    Dort einstellen "mit CertificateChain", dann ist das Wurzelzertifikat mit drin.

    Die reinen Zertifikate (also ohne privaten Schlüssel), exportiert im cer oder der-Format benötigst du, um sie deinen Mailpartnern zur Verfügung zu stellen. Also sowohl dein eigenes, als auch das Wurzelzertifikat.

    Ein intelligentes Mailprogramm importiert beim Empfang einer signierten Mail diese Zertifikate automatisch. Trotzdem muss der Nutzer das Vertrauen in das Wurzelzertifikat immer bewusst einstellen, so lange es keines der etablierten Trustcenter ist. Erst nach dem Einstellen des Vertrauens funktionieren die Zertifikate, bzw. werden sie als vertrauenswürdig anerkannt. Trotzdem schadet es keinesfalls, wenn du dem Mailpartner auch die o.g. Zertifikate per Mail mitschickst. Nicht alle Mailclients sind intelligend genug. Hier muss der Empfänger eben die Zertifikate manuell installieren. Bei Produkten von M$ werden Zertifikatsdateien sogar als gefährliche Dateianhänge eingestuft und automatisdch gelöscht. Aber vor dem Versenden die Endung umbenennen hilft schon ... .

    Letzter Hinweis:
    Mozilla-Produkte bringen im Gegensatz zu M$-Produkten einen eigenen Speicher für Zertifikate und Schlüssel mit. Wenn du im Thunderbird so wie beschrieben, das Root-Zertifikat importiert und das Vertrauen ausgesprochen hast, dann dürften alle Zertifikate dieser CA als vertrauenswürdig gelten. Öffnest du allerdings ein Nutzerzertifikat direkt auf der WinDOSe, dann gilt das nicht! Hier musst du die Zertifikate zuerst über den Internet-Explorer importieren. Das Wurzelzertifikat natürlich zu den Vertrauenswürdigen. Dann klappt das auch mit der WinDOSe.

    HTH

    MfG Peter
    Thunderbird 45.2.x, Lightning 4.7.x, openSUSE 13.2 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, unserer Doku und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    Hallo Peter,

    "Peter_Lehmann" schrieb:

    Das Vertrauen in dieses Wurzelzertifikat muss der Nutzer bewusst einstellen! => Bearbeiten, Haken setzen

    :nixweiss: :nixweiss: :flehan: :flehan: :flehan:

    Finde nirgends "Bearbeiten" :nixweiss: :nixweiss: :nixweiss:

    Ist das im XCA, in Windows, im Thunderbird, kann das nur dem Mailpartner machen, oder worauf beziehst Du Dich? :flehan:
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    Na, denk mal scharf nach ...

    ... wer oder was muss wissen, ob ich einem bestimmten Herausgeber von Zertifikaten vertrauen darf?

    o
    o
    o
    o
    o

    Richtig! Der Client, welcher das Zertifikat auswertet bzw. nutzt.

    Bei einem WinDOSen-Nutzer mit Ausgugg ==> Zertifikatsspeicher des Betriebssystems (via I-Ex)
    Bei einem Thunderbird-Nutzer (alle Betriebssysteme) ==> Zertifikatsspeicher des TB
    Bei einem Firefox-Nutzer (Zertifikate für Webseiten) ==> ebenso
    Bei einem ... usw.
    Und wenn du selbst einen Webserver mit SSL betreibst, oder einen VPN-Server, dann auch die Server.

    Und wenn du im Zertifikatsmanager des TB unter "Herausgeber" ein Zertifikat markierst, dann siehst du unten den Button "Bearbeiten". Mal gaaaaaaaanz vorsichtig draufklicken ... .
    Thunderbird 45.2.x, Lightning 4.7.x, openSUSE 13.2 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, unserer Doku und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!
  • Re: Mailpartner schicken mir *.cer statt *.asc -- was nun?

    Hallo Peter,

    O.k. danke! Allerdings kann ich das von mir probeweise erzeugte Zertifikat gar nicht in den Thunderbird importieren, bzw. lediglich als eigenes Zertifikat unter "Ihre Zertifikate" -- dem ich dann wiederum kein Vertrauen aussprechen kann. Als "Zertifikat anderer Personen" lässt sich das von mir erzeugte Zertifikat (im Format ".p12 mit CertificateChain") im Thunderbird gar nicht importieren, so dass ich auch auf diese Weise kein Vertrauen (probehalber) aussprechen kann.

    So sieht meine erzeugte Schlüsseldatei aus:



    "Peter_Lehmann" schrieb:

    Schlüsseldatei = Zertifikat + privater Schlüssel., Format .pfx oder .p12
    Dort einstellen "mit CertificateChain", dann ist das Wurzelzertifikat mit drin.

    Die reinen Zertifikate (also ohne privaten Schlüssel), exportiert im cer oder der-Format benötigst du, um sie deinen Mailpartnern zur Verfügung zu stellen. Also sowohl dein eigenes, als auch das Wurzelzertifikat.

    Ein intelligentes Mailprogramm importiert beim Empfang einer signierten Mail diese Zertifikate automatisch. Trotzdem muss der Nutzer das Vertrauen in das Wurzelzertifikat immer bewusst einstellen, so lange es keines der etablierten Trustcenter ist. Erst nach dem Einstellen des Vertrauens funktionieren die Zertifikate, bzw. werden sie als vertrauenswürdig anerkannt. Trotzdem schadet es keinesfalls, wenn du dem Mailpartner auch die o.g. Zertifikate per Mail mitschickst. Nicht alle Mailclients sind intelligend genug. Hier muss der Empfänger eben die Zertifikate manuell installieren.

    Uaahhh ich sterbe........

    Eigentlich hielt mich bisher nur der folgende Satz von Dir noch am Leben:

    "Peter_Lehmann" schrieb:

    Ich exportiere meine Schlüssel und Zertifikate so, dass sich immer in der Datei auch gleich meine beiden Herausgeberzertifikate befinden (PCA und Jahres-CA). Das bedeutet, wenn ein User ein Zertifikat von mir erhält, hat er nach dessen Import auch gleich die Herausgeberzertifikate mit importiert. Vertrauen aussprechen und fertig.

    Darunter verstand ich in meiner möglicherweise grenzenlosen Naivität, dass bei der ganzen Sache schlussendlich eine einzige wie auch immer geartete Datei hinten rauskommt, die ich meinem Mailpartner zusende und fertig.

    Nun schreibst Du aber wieder von Schlüsseldateien und zusätzlich von Zertifikaten, die ich alle dem Mailpartner zusenden muss, und die bei diesem womöglich wieder extra Aufwand mit dem Vertrauen aussprechen verursachen (da nicht vom Trustcenter herausgegeben) oder zu sonstigen Schwierigkeiten führen.

    GEHT DAS DENN am Ende gar nicht wie gedacht, also nur eine einzige Datei (obige "Schlüsseldatei mit CertificateChain" -- oder welche Datei ist gemeint) zu erzeugen und diese dem Mailpartner zuzusenden?

    Bittebittebitte.... :pale: Ich will einfach nur die einfachste, simpelste, primitivste Methode für ganz große Dummies, damit ich mit meinem Mailpartner per S/MIME kommunizieren kann. Mehr will ich doch gar nicht.................................

    Geht das etwa doch nicht (ohne extra Promotion mit MBA, Auslandsaufenthalt und Postdoc?) :flehan: :flehan: :flehan:

    Viele Grüße David.P