Mail-Verschlüsselung/Signierung

Einführung

Die meisten Mailprogramme unterstützen den Umgang mit S/MIME-Zertifikaten zur Verschlüsselung bzw. Signierung des E-Mail-Verkehrs. Auch auf Mobilen Geräten ist dies in der Regel möglich.  Als Voraussetzung benötigen Sie ein persönliches S/MIME-Zertifkat, das Sie im Rechenzentrum beantragen können.

Für die Beantragung ist einerseits ein Webbrowser wie z.B. Firefox notwendig und andererseits muß das letztendlich erhalte S/MIME-Zertifikat in ein  S/MIME-fähiges Email-Programm, wie z.B. Mozilla Thunderbird importiert werden um es mit diesem Programm nutzen zu können. Aus dem gesagten wird ersichtlich, das die genaue Vorgehensweise stark abhängig von den verwendetenm Werkzeugen ist.

Viele Hinweise zur Konfiguration verschiedener Mailprogramme finden Sie auch in den FAQ des DFN-PKI.

Im Folgenden finden Sie eine Schritt für Schritt Anleitung für die Beantragung und Installation des persönlichen Zertifikats für S/MIME unter Verwendung der weit verbreiteten Werkzeuge Mozilla Firefox und Mozilla Thunderbird.

Für weitere Platform- bzw Anwendungs-spezifische Hinweise klicken Sie links in der Navigationsleiste auf Ihr Mailprogramm.

S/MIME mit Firefox und Thunderbird

Voraussetzung für das Signieren bzw. Verschlüsseln von Mails über S/MIME ist ein persönliches Zertifikat, das im Rechenzentrum erstellt werden kann. Ein solches Zertifikat besteht aus einem öffentlichen und einem privaten Schlüssel. Der öffentliche Teil sollte öffentlich gemacht werden, damit andere Personen in der Lage sind, verschlüsselte Mails an den Eigentümer des Schlüssels zu versenden. Der private Teil des eigenen Zertifikats darf unter keinen Umständen öffentlich werden! Jeder, der den privaten Schlüssel besitzt, könnte sich damit in einer Mail in betrügerischer Art und Weise als als der rechtmäßige Besitzer des Schlüssel ausweisen.

Antragstellung Schritt für Schritt

Im Folgenden wird der komplette Antragstelungsprozess zusammen mit der Nutzbarmachung der dann zugeteilten Zertifikate anhand von Mozilla Firefox und Mozilla Thunderbird dargestellt.

Im ersten Schritt muss auf der Webseite des DFN das Zertifikat beantragt werden.

 smime-Antrag.jpg

 

 Auf der Webseite muss die eigene Mail-Adresse angegeben werden, für die das Zertifikat erstellt werden soll. Weiterhin der eigene Name, optional eine Abteilung und ein Passwort (PIN), das dazu verwendet werden kann das Zertifikat bei Verlust oder Missbrauch zu sperren. 

Über den “Weiter”-Button gelangt man zur nächsten Seite auf der der Zertifikatsantrag angezeigt werden kann. Durch Klick auf den Button Zertifikat anzeigen erhalten Sie eine PDF-Datei zum Herunterladen.

Laden Sie den Antrag herunter, drucken Sie ihn aus unterschreiben Sie. Dann legen Sie den Antrag zusammen mit einem Ausweisdokument im Rechenzentrum bei Uwe Arndt oder Dipl.-Inform. Christoph Litauer vor.

Nachdem der Antrag vom Rechenzentrum bearbeitet wurde, erhalten Sie an die auf dem Antrag stehende Mail-Adresse eine Mail in der die weiteren Schritte beschrieben werden.

Importieren des persönlichen Zertifikats

In der Mail, die als Reaktion auf den eingereichten Antrag von ra @ uni-koblenz.de an den Antragsteller versendet wurde beschrieben ist, muß im nächsten Schritt zunächst das Zertifikat des DFN-Vereins und dann das eigene Zertifikat in den Webbrowser importiert werden.

Es muß hierzu genau der Browser auf genau dem Rechner verwendet werden, von dem aus zuvor auf der DFN-Seite das Zertifikat beantragt wurde!

Folgen Sie nun dem 1. Link in der Mail und importieren den Anweisungen entsprechend alle notwendigen Zertifikate. Sollte eines der Zertifikate schon im Browser importiert gewesen sein, erhalten Sie eine entsprechende Warnung.

Dann folgen Sie dem 2. Link in der Mail und importieren ihr eigenes Zertifikat.

Wurde für den Beantragungsvorgang Firefox als Browser verwendet, kann das jetzt vollständig importierte Zertifikat unter dem Menüpunkt Einstellungen->Erweitert->Zertifikate Anzeigen im Tab Ihre Zertifikate angesehen werden:

firefox-zertifikate.jpg

 

Übertragung des Zertifikats in das verwendete Mail-Programm

Der eigentliche Zweck des S/MIME Zertifikats ist ja die Möglichkeit signierte und/oder verschlüsselte Mails zu schreiben. Die Signatur einer Mail stellt sicher, dass die Mail wirklich vom angegebenen Absender stammt, durch die Verschlüsselung kann nur der von Ihnen angegebene Empfänger die Mail öffnen und lesen.

Voraussetzung ist jedoch, das das beantragte Zertifikat in das von Ihnen verwendete Mail-Programm importiert wird. Bis jetzt ist das Zertifikat nur dem Webbrowser bekannt. Der “Transfer” des Zertifikats erfolgt, indem es im Webbrowser in einer Datei gesichert und dann im Mail-Programm importiert wird.

Sichern des in Firefox gespeicherten Zertifikats

Das Sichern eines Zertifikats erfolgt in Firefox im Menü Einstellungen->Erweitert->Zertifikate Anzeigen im Tab Ihre Zertifikate:

firefox-Ihre-Zertifikate.jpg

 

In diesem Dialog den Button Sichern wählen. Im nächsten Schritt muss eine Datei angegeben werden, in die das Zertifikat gesichert werden soll. Wichtig ist das Dateiformat. Hier sollte PKCS12 gewählt werden:

firefox-save.jpg

 

Beim Verlassen des Dateiauswahldialogs mit OK erscheint jetzt ein Dialog in dem ein Passwort eingegeben und zur Sicherheit noch einmal wiederholt werden muss. Das Passwort wird später beim Importieren in das Mail-Programm wieder benötigt. Anschließend steht das eigene Zertifikat in der gewählten Datei und kann nun vom Mail-Programm importiert werden.

Importieren des gesicherten Zertifikats in Thunderbird

Um ein Zertifikat in Thunderbird importieren zu können, muss man zunächst den Zertifikats-Dialog unter Einstellungen->Erweitert->Zertifikate Anzeigen öffnen und das Tab Ihre Zertifikate wählen:

 thunderbird-smime-import1.jpg

 

In diesem Dialog wählt man anschließend den Button Importieren an. In dem sich dann öffnenden Dateiauswahldialog selektiert man die zuvor gesicherte Zertifikats-Datei mit der Endung .p12 . Damit ist der Import des Zertifikats abgeschlossen. Im Zertifikatsmanager sollte jetzt das eigene Zertifikat erscheinen:

thunderbird-smime-import2.jpg

 

Arbeitsweise mit S/MIME-Zertifikaten

Ein Problem beim Arbeiten mit S/MIME verschlüsselten Mails, ist das man zur Verschlüsselung einer Mail zunächst den öffentlichen Schlüssel des Empfängers benötigt. Wie aber kommt man an diesen öffentlichen Schlüssel?

Ein Weg ist, den Empfänger einmalig zu bitten eine S/MIME signierte Mail zu schicken. Der signierten Mail wird automatisch der öffentliche Schlüssel beigefügt. Thunderbird kann sofort anhand der Signatur und des angehängten öffentlichen Schlüssels erkennen, ob das Zertifikat in der Mail vertrauenswürdig ist, was durch einen Brief-Icon mit einem roten Siegel dargestellt wird.

thunderbird-smime-icon.jpg
 

Durch einen Klick auf das Icon, erhält man Informationen über die Signatur:

 thunderbird-smime-zert-info-neu.jpg

 

Zusätzlich wird derin der Mail  mitgesendete öffentliche Schlüssel automatisch in Thunderbird importiert, so das es jetzt möglich ist dem Absender eine signierte oder verschlüsselte S/MIME Mail zu schicken.

Der zweite Weg, um erstmalig an den öffentlichen Schlüssel des Empfängers einer verschlüsselten Mail zu kommen, ist die Nutzung des DFN-LDAP-Servers. Dieser Server verfügt über eine Liste über alle Nutzer, die über den DFN-Verein ein S/MIME-Zertifikat beantragt haben. Daher können auf diesem Weg öffentliche Schlüssel nur von solchen Personen bezogen werden, die Ihr S/MIME-Zertifikat über den DFN-Verein erhalten haben.

Thunderbird erlaubt es mehrere LDAP-Server einzurichten und ist anschließend in der Lage beim Schreiben einer Mail während der Eingabe eines Namens für den Empfängers der Mail in dem angegebenen LDAP-Server nach passenden Einträgen (Name, Mail-Adresse) zu suchen. Wird ein passender Eintrag gefunden, liest Thunderbird gleichzeitig auch den in LDAP gespeicherten öffentlichen S/MIME-Schlüssel und verwendet diesen automatisch falls die Mail verschlüsselt werden soll.

Die Einrichtung eines neuen LDAP-Servers in Thunderbird erfolgt im Menü Einstellungen->Verfassen->Adressieren. Folgende Daten müssen in die Maske für den neuen LDAP-Server eingegeben werden:

thunderbird-ldap.jpg 

 

Ein Problem bei Thunderbird ist, das man zwar mehrere LDAP-Server einrichten kann, Thunderbird aber immer nur den aktiven Server zur Suche verwendet. An der Uni-Koblenz ist normalerweise in Thunderbird bereits der lokale LDAP-Server eingerichtet, um Mail-Adressen von Nutzern an der Uni-Koblenz leichter finden zu können. Richtet man jetzt den DFN-Server ein und macht ihn zum aktiven Server (Auswahl aus der Liste der eingerichteten Server) wird nur noch der DFN-LDAP-Server durchsucht, aber nicht mehr der Lokale. Mail-Adressen von Uni-Koblenz-Nutzern werden daher jetzt nicht mehr automatisch ergänzt, es sei denn für genau diese Nutzer, die ein S/MIME Zertifikat über den DFN-beantragt haben.