Nutzerzertifikate einbinden
In diesem Artikel wird erklärt, wie Sie Nutzerzertifikate in unterstützte E-Mail-Clients einbinden und diese zum verschlüsseln und signieren verwenden können.
1. Nutzerzertifikate in Outlook einbinden
Diese Anleitung wurde mit Outlook 2016 in Windows 10 erstellt (Stand 23.04.2020).
Hinweis
Um das Problem zu lösen, kann man den Anzeigenamen von dem Zertifikat anpassen.
I. Eigene p12-Datei in den Windows-Zertifikatsspeicher importieren
Um Dokumente elektronisch unterschreiben oder signierte E-Mails versenden oder verschlüsselte E-Mails empfangen zu können, müssen Sie zuerst Ihr persönliches Nutzerzertifikat in den Zertifikatsspeicher von Windows importieren.
Dazu suchen Sie auf Ihrem Rechner nach der Zertifikatsdatei (.p12-Datei) und führen Sie diese mit einem Doppelklick aus:
Dies öffnet den Zertifikatsimport-Assistenten von Windows:
Nach dem Klick auf "Weiter" werden Sie zur Dateiauswahl weitergeleitet. Hier ist das Feld bereits ausgefüllt, da Sie die Datei bereits ausgewählt haben. Klicken Sie auf "Weiter":
Im nächsten Schritt geben Sie das Kennwort ein, welches Sie gesetzt haben, als Sie die .p12-Datei erzeugt haben.
Wählen Sie die Importoptionen aus:
- Aktivieren Sie "Hohe Sicherheit für den privaten Schlüssel" NICHT. Das gesagt, stellen Sie immer sicher, dass Ihr Rechner ausreichend von Zugriff Dritter geschützt ist.
- Sollten Sie "Hohe Sicherheit" wählen wollen, dann folgten 3 weitere Fenster (werden hier nicht abgebildet) wo Sie ein CryptoAPI-Passwort setzen müssten. Dieses Passwort müssten Sie fortan bei jedem Versenden einer digital signierten E-Mail eingeben.
- "Schüssel als exportierbar" wählen, sodass Sie aus dem Windows-Zertifikatsspeicher später eine .p12-Datei erzeugen können.
- Die Option ist nützlich, als Backpack, sollten Sie Ihre .p12-Datei ungewollt vernichten.
Wählen Sie den Zertifikatsspeicher aus:
Klicken Sie auf "Fertig stellen", um den Import anzuschließen:
Bestätigen Sie den erfolgreichen Importvorgang mit OK:
II. Automatische Signatur konfigurieren
Hinweis
Falls Sie noch kein Nutzerzertifikat besitzen, können Sie über das RA-Portal ein Nutzerzertifikat beantragen.
Digitale Signaturen erlauben dem Empfänger einer E-Mail
- die Identität eines Absenders zu prüfen.
- sicher zu sein, dass die E-Mail auf dem Weg nicht verändert wurde.
Alte Zertifikate können auch durch neue Zertifikate ersetzt werden.
Konfiguration
In den Einstellungen für das Trust Center von Outlook (Datei → Optionen → Trust Center) können Sie unter E-Mail-Sicherheit Outlook zum automatischen Signieren konfigurieren.
Um Ihre Nachrichten automatisch zu signieren, wählen Sie bitte im Feld "Verschlüsselte E-Mail-Nachrichten" folgende Optionen aus:
- Ausgehenden Nachrichten digitale Singnatur hinzufügen.
- Signierte Nachrichten als Klartext senden.
Wählen Sie anschließend "Einstellungen" aus.
Optional: Falls Sie Ihr Zertifikat noch nicht in Windows importiert haben, können Sie dies mit dem Importieren/Exportieren Button nachholen. Sie müssen dann nach ihrer p12-Datei suchen und das passende Kennwort eingeben.
Wenn Sie bereits ein Zertifikat eingepflegt haben, können Sie dieses durch ein neues Zertifikat ersetzen (z.B. wenn ein altes Zertifikat abläuft).
Das neue Zertifikat muss im Windows Zertifikatsspeicher importiert sein. Im Falle von Zertifikaten für funktionale E-Mail-Adressen empfehlen wir den Anzeigenamen von dem Zertifikat anzupassen.
Durch Klicken auf "Auswählen" können Sie das neue Zertifikat jeweils als Signaturzertifikat und Verschlüsselungszertifikat auswählen.
- Möchten Sie ein Nutzerzertifikat für eine weitere E-Mail-Adresse einbinden, so können Sie es über den Button "Neu" machen. Dadurch werden alle Felder leer und Sie können eine neue Sicherheitseinstellung hinzufügen.
Passen Sie den Signatur- und Verschlüsselungs- Algorithmus an:
- Kreuzen Sie die beiden Kästchen im Feld "Kryptografieformat" an.
- Einstellung für Hashalgorithmus: SHA256
- Einstellung für Verschlüsselungsalgorithmus: AES (256-bit)
- Kreuzen Sie das Kästchen "Signierten Nachrichten diese Zertifikate hinzufügen" an.
Digital signierte E-Mail versenden (optional)
Sollten Sie bei der Konfiguration von Outlook die Option zum automatischen Signieren ausgewählt haben, so werden Ihre Nachrichten immer signiert versendet.
Die digitale Signatur wird an die E-Mail angehängt und kann mit dem Klick auf das Signatur-Symbol überprüft werden.
"Gültig" bedeutet, dass der Hashwert der elektronischen Signatur stimmt, d.h. der E-Mail-Inhalt wurde auf dem Weg nicht verändert.
"Vertrauenswürdig" bedeutet, der dazugehöriger öffentlicher RSA-Schlüssel des Absenders würde in einem Nutzerzertifikat mitgeliefert, das von einer PKI ausgestellt wurde und deren Zertifikatskette im Trust Center von Outlook verankert ist.
Um die Identität des Absenders zu sehen, muss man "Details" aufrufen.
Wählen Sie den Unterzeichner und klicken Sie auf „Details anzeigen“.
Unter "Allgemein" kann man sich das Zertifikat anzeigen lassen. Klicken Sie auf „Zertifikat anzeigen...“, um die Zertifikatsdetails anzuzeigen.
Auf der Registerkarte „Zertifizierungspfad“ sehen Sie die Zertifikate in der Zertifikatskette und das Zertifikat des Absenders am Ende der Kette.
- T-TeleSec ist das Stammzertifikat (in Outlook vorinstalliert)
- DFN-Verein sind die beiden Zwischenzertifikate
- das Benutzerzertifikat des Absenders steht am Ende der Kette
In diesem Beispiel verwendet der Absender ein persönliches Zertifikat. "Erika Mustermann" ist der Wert des Feldes "Common Name" im Nutzerzertifikat, welcher dem Empfänger erlaubt, die Identität des Absenders zu prüfen.
III. E-Mail Verschlüsselung konfigurieren (optional)
 | Mit dieser Einstellung versucht Outlook alle ausgehende E-Mails zu verschlüsseln. Verschlüsseln ist nur möglich wenn Outlook der öffentlicher RSA-Schlüssel des Empfängers bekannt ist. Dafür muss entweder ein Handshake erfolgt sein (d.h. Sie haben eine signierte E-Mail vom Empfänger schon erhalten) oder Sie haben das Nutzerzertifikat des Empfänger mit Hilfe des PKI LDAP Servers im Outlook gespeichert. In beiden Fällen muss der Empfänger explizit als eigener "Kontakt" gespeichert werden. |
|---|
 | Wenn "verschlüsseln" über das Trust Center gesetzt wurde, ist "Verschlüsseln" schon vorgewählt. Sonst müssen Sie dies pro E-Mail auswählen. |
|---|
 | Fehlermeldung wenn die E-Mail nicht verschlüsselt werden kann, z.B. Outlook kennt den öffentlichen RSA-Schlüssel des Empfängers nicht. Eine Möglichkeit, dieses Problem zu umgehen, ist die Verwendung des DFN-LDAP als Adressbuch. |
|---|
 | Die empfangene E-Mail ist verschlüsselt und signiert Der Betreff ist nie verschlüsselt. Man kann den Text nur dann lesen, wenn Outlook das "eigene" (des Empfängers) Nutzerzertifikat kennt. Das "Schloss" Symbol wählen. |
|---|
 | Die E-Mail ist verschlüsselt und signiert. |
|---|
 | Verschlüsselungsdetails |
|---|
IV. DFN-LDAP als Adressbuch einbinden (optional)
Der DFN-PKI LDAP Server wird benötigt um eine verschlüsselte E-Mail an einen Empfänger zu senden, dessen öffentlichen RSA-Schlüssel man nicht hat.
Der Empfänger muss ein Nutzerzertifikat von der DFN-PKI erhalten und dessen Veröffentlichung im LDAP zugestimmt haben.
 | Servername ist "ldap.pca.dfn.de" |
|---|
 | Dies ist nur ein Hinweis. Bitte führen Sie nach der Bestätigung mit "OK" einen Neustart manuell durch. |
|---|
 | Eine verschlüsselte Verbindung zum LDAP-Server aufbauen. Anzeigename kann "ldap-DFN-PKI" sein. Anschluss muss "636" sein. |
|---|
 | Die Suchbasis definieren. Suchbasis kann "ou=DFN-PKI,o=DFN-Verein,c=de" sein. (Serverünterstützung bitte nicht auswählen) |
|---|
Falls Sie Ihr System während der Konfiguration noch nicht neu gestartet haben führen Sie dies bitte als Abschluss durch.
2. Nutzerzertifikate in Thunderbird einbinden
Bitte beachten Sie:
Die p12-Datei, welche über die DFN-PKI Webseite erstellt wurde, enthällt neben dem eigenen Zertifikat auch alle Zertifikate der Kette.
Wurde aber bspw. openssl verwendet, so müssen die CA-Zertifikate "intermediatecacert.pem" und "cacert.pem" heruntergeladen werden
Anschließend können diese dann importiert werden:
- Zertifikatsspeicher öffnen um das eigene Zertifikat inkl. RSA Schlüsselpaar zu importieren
- Eigenes Zertifikat importieren
- Prüfen, ob der Import erfolgreich war
- Anschließend alle geöffneten Fenster wieder schließen
II. Automatische Signatur konfigurieren
Bitte beachten Sie:
Bevor die Konfiguration beginnen kann, müssen Sie Ihr persönliches E-Mail-Zertifikat in den Zertifikatsspeicher importieren.
Falls Sie noch kein Zertifikat besitzen, können Sie dies über das RA-Portal beantragen. Weitere Informationen dazu finden Sie hier.
Sicherheits-Einstellungen für das Konto/Account öffnen
Zertifikat für das Signieren (automatisch) und Verschlüsseln auswählen
Abschließend alle geöffneten Fenster wieder schließen
III. DFN-LDAP als Adressbuch einbinden
Bitte beachten Sie:
Daher sollte jedes Nutzerzertifikat veröffentlicht werden
In Thunderbird rechts das "Burger Menü" (drei Streifen) auswählen und dort "Einstellungen" auswählen:
- Register "Verfassen" (1) öffnen
- Dort bis zur Überschrift "Adressieren" (2) scrollen
- Haken bei "LDAP-Verzeichnisserver" (3) setzen und "Bearbeiten..." (4) anklicken
Nun auf "Hinzufügen" klicken und im erscheinenden Fenster folgende Einstellungen übernehmen:
- Name: Name des Adressbuches (z.B. ldap-DFN-PKI)
- Serveradresse: ldap.pca.dfn.de
- Basis-DN: ou=DFN-PKI,o=DFN-Verein,c=de
- Port-Nummer: 636
- Bind-DN: leer lassen!
- Haken bei "Verschlüsselte Verbindung (SSL) verwenden" setzen
Wenn die Einstellungen gesetzt sind den Dialog mit Klicken auf "OK" bestätigen.
Danach ist das Adressbuch unter "Adressbuch" in der Menüleiste zu finden
