Nutzerzertifikate einbinden
Auf dieser Seite erfahren Sie, wie Sie Nutzerzertifikate in unterstützte E-Mail-Clients einbinden und diese zum verschlüsseln und signieren verwenden können.
Falls Sie noch kein Nutzerzertifikat besitzen, können Sie über das RA-Portal ein Nutzerzertifikat beantragen.
Nutzerzertifikate in Outlook einbinden
GÉANT/TCS-Zertifikate für funktionale E-Mail-Adressen werden ohne CN (Common Name) ausgestellt. Dies erschwert die Konfiguration von diesen Zertifikaten über das Trust Center von Outlook.
Sofern mehrere (funktionale) E-Mail-Adressen genutzt werden, ist es nicht möglich zu identifizieren, welches Zertifikat zu welcher E-Mail-Adresse gehört.
Um das Problem zu lösen, kann man den Anzeigenamen von Zertifikaten anpassen.
P12-Datei importieren
Um Dokumente elektronisch unterschreiben, signierte E-Mails versenden oder verschlüsselte E-Mails empfangen zu können, müssen Sie zuerst Ihr persönliches Nutzerzertifikat in den Zertifikatsspeicher von Windows importieren.
Schritt 1
Suchen Sie dazu auf Ihrem Rechner nach der Zertifikatsdatei (.p12-Datei) und führen Sie diese mit einem Doppelklick aus:
Schritt 2
Dies öffnet den Zertifikatsimport-Assistenten von Windows:
Schritt 3
Nach dem Klick auf Weiter werden Sie zur Dateiauswahl weitergeleitet.
Das Feld sollte bereits ausgefüllt sein, sofern Sie die Datei bereits ausgewählt haben.
Alternativ klicken Sie auf Durchsuchen und finden Sie die Datei an ihrem Ablageort.
Klicken Sie dann auf "Weiter":
Schritt 4
Im nächsten Schritt geben Sie das Kennwort ein, welches Sie gesetzt haben, als Sie die .p12-Datei erzeugt haben.
Zusätzlich können Sie die Importoptionen auswählen:
- Aktivieren Sie Hohe Sicherheit für den privaten Schlüssel bitte NICHT. Stellen Sie trotzdem immer sicher, dass Ihr Rechner ausreichend vor dem Zugriff durch Dritte geschützt ist.
- Sollten Sie Hohe Sicherheit wählen, müssen Sie zusätzlich ein CryptoAPI-Passwort setzen. Dieses Passwort muss dann bei jedem Versenden einer digital signierten E-Mail eingeben werden.
- Sie können Schüssel als exportierbar markieren auswählen, damit Sie aus dem Windows-Zertifikatsspeicher später eine .p12-Datei erzeugen können.
- Die Option ist nützlich, als Backup, sollten Sie Ihre .p12-Datei ungewollt löschen.
Sobald Sie die gewünschten Einstellungen vorgenommen haben, klicken Sie auf Weiter.
Schritt 5
Im nächsten Fenster wählen Sie den Zertifikatsspeicher automatisch auswählen aus.
Klicken Sie dann auf Weiter.
Schritt 6
Sie können die ausgewählten Daten noch einmal überprüfen.
Sofern alles korrekt eingetragen ist, klicken Sie auf Fertig stellen.
Schritt 7
Bestätigen Sie den erfolgreichen Importvorgang mit OK:
Automatische Signatur konfigurieren
Digitale Signaturen erlauben dem Empfänger einer E-Mail
- die Identität eines Absenders zu prüfen.
- sicher zu sein, dass die E-Mail auf dem Weg nicht verändert wurde.
Alte Zertifikate können auch durch neue Zertifikate ersetzt werden.
Um eine automatische Signatur zu konfigurieren folgen Sie bitte diesen Schritten:
Schritt 1
Öffnen Sie Outlook und wählen Sie Datei > Optionen > Trust Center.
Schritt 2
Um Ihre Nachrichten automatisch zu signieren, wählen Sie bitte im Feld Verschlüsselte E-Mail-Nachrichten folgende Optionen aus:
- Ausgehenden Nachrichten digitale Singnatur hinzufügen.
- Signierte Nachrichten als Klartext senden.
Falls Sie Ihr Zertifikat noch nicht in Windows importiert haben, können Sie dies mit dem Importieren/Exportieren Button nachholen. Sie müssen dann nach ihrer p12-Datei suchen und das passende Kennwort eingeben.
Schritt 3
Wählen Sie anschließend Einstellungen aus.
Hier können Sie ein neues Zertifikat auswählen, oder ein bestehendes Zertifikat auswechseln (z.B. wenn ein altes Zertifikat abläuft).
Durch Klicken auf Auswählen können Sie ein Zertifikat jeweils als Signaturzertifikat und Verschlüsselungszertifikat auswählen.
Möchten Sie ein Nutzerzertifikat für eine weitere E-Mail-Adresse einbinden, so können Sie es über den Button Neu durchführen.
Dadurch werden alle Felder leer und Sie können eine neue Sicherheitseinstellung hinzufügen.
Passen Sie den Signatur- und Verschlüsselungs- Algorithmus an:
- Kreuzen Sie die beiden Kästchen im Feld Kryptografieformat an.
- Einstellung für Hashalgorithmus: SHA256
- Einstellung für Verschlüsselungsalgorithmus: AES (256-bit)
- Kreuzen Sie das Kästchen Signierten Nachrichten diese Zertifikate hinzufügen an.
Schritt 4
Mit klicken auf OK schließen Sie den Vorgang ab.
Zertifikate überprüfen
Schritt 1
Sollten Sie bei der Konfiguration von Outlook die Option zum automatischen Signieren ausgewählt haben, so werden Ihre Nachrichten immer signiert versendet.
Schritt 2
Die digitale Signatur wird an die E-Mail angehängt und kann mit dem Klick auf das Signatur-Symbol überprüft werden.
Schritt 3
Im Fenster das sich öffnet können Sie den Status der Signatur prüfen.
- Gültig bedeutet, dass der Hashwert der elektronischen Signatur stimmt, d.h. der E-Mail-Inhalt wurde auf dem Weg nicht verändert.
- Vertrauenswürdig bedeutet, der dazugehöriger öffentlicher RSA-Schlüssel des Absenders würde in einem Nutzerzertifikat mitgeliefert, das von einer PKI ausgestellt wurde und deren Zertifikatskette im Trust Center von Outlook verankert ist.
Schritt 4
Um die Identität des Absenders zu sehen, klicken Sie auf Details.
Schritt 5
Wählen Sie den Unterzeichner und klicken Sie auf Details anzeigen.
Schritt 6
Unter Allgemein kann man sich das Zertifikat anzeigen lassen.
Klicken Sie auf Zertifikat anzeigen..., um die Zertifikatsdetails anzuzeigen.
Schritt 7
Auf der Registerkarte „Zertifizierungspfad“ sehen Sie die Zertifikate in der Zertifikatskette und das Zertifikat des Absenders am Ende der Kette.
- T-TeleSec ist das Stammzertifikat (in Outlook vorinstalliert)
- DFN-Verein sind die beiden Zwischenzertifikate
- das Benutzerzertifikat des Absenders steht am Ende der Kette
In diesem Beispiel verwendet der Absender ein persönliches Zertifikat. "Erika Mustermann" ist der Wert des Feldes Common Name im Nutzerzertifikat, welcher dem Empfänger erlaubt, die Identität des Absenders zu prüfen.
E-Mail Verschlüsselung konfigurieren (optional)
Schritt 1
Öffnen Sie Outlook und wählen Sie Datei > Optionen > Trust Center.
Schritt 2
Wählen Sie im Fenster das sich öffnet die Option E-Mail-Sicherheit.
Setzen Sie einen Haken bei der Option Inhalt und Anlagen für ausgehende Nachrichten verschlüsseln.
Mit dieser Einstellung versucht Outlook alle ausgehende E-Mails zu verschlüsseln. Verschlüsseln ist nur möglich wenn Outlook der öffentlicher RSA-Schlüssel des Empfängers bekannt ist.
Dafür muss entweder ein Handshake erfolgt sein (d.h. Sie haben eine signierte E-Mail vom Empfänger schon erhalten) oder Sie haben das Nutzerzertifikat des Empfänger mit Hilfe des PKI LDAP Servers im Outlook gespeichert.
In beiden Fällen muss der Empfänger explizit als eigener Kontakt gespeichert werden.
Schritt 3
Wenn Sie eine E-Mail versenden wollen und verschlüsseln unter Schritt 2 über das Trust Center gesetzt wurde, ist diese Option schon vorgewählt.
Alternativ müssen Sie dies pro E-Mail auswählen.
Schritt 4
Sofern alles korrekt konfiguriert wurde, sind E-Mails die versendet werden nun automatisch verschlüsselt und signiert.
Der Betreff ist dabei nie verschlüsselt. Man kann den Text nur dann lesen, wenn Outlook das "eigene" Nutzerzertifikat (des Empfängers) kennt.
Wenn die E-Mail nicht verschlüsselt werden kann, da z.B. Outlook den öffentlichen RSA-Schlüssel des Empfängers nicht kennt, erhalten Sie eine Fehlermeldung.
Eine Möglichkeit, dieses Problem zu umgehen, ist die Verwendung des DFN-LDAP als Adressbuch.
Zur Überprüfung der Verschlüsselung können Sie das Schloss-Symbol wählen.
Schritt 5
Es öffnet sich ein neues Fenster in dem Sie die Eigenschaften der Signatur einsehen können.
In diesem Beispiel ist die E-Mail verschlüsselt und signiert.
Über Details anzeigen kommen Sie zu zusätzlichen Informationen über die Verschlüsselung.
DFN-LDAP als Adressbuch einbinden (optional)
Der DFN-PKI LDAP Server wird benötigt um eine verschlüsselte E-Mail an einen Empfänger zu senden, dessen öffentlichen RSA-Schlüssel man nicht hat.
Der Empfänger muss ein Nutzerzertifikat von der DFN-PKI erhalten und dessen Veröffentlichung im LDAP zugestimmt haben.
Schritt 1
Klicken Sie in Outlook in der Navigationsleiste auf Datei.
Schritt 2
Wählen Sie dann Kontoeinstellungen > Kontoeinstellungen.
Schritt 3
Im Fenster das sich öffnet wählen Sie die Option Adressbücher aus.
Um ein neues Adressbuch einzubinden klicken Sie auf Neu....
Schritt 4
Es öffnet sich ein neues Fenster. Wählen Sie die Option Internetverzeichnis (LDAP).
Schritt 5
Geben Sie als Servernamen ldap.pca.dfn.de ein.
Klicken Sie dann auf Weitere Einstellungen und bestätigen Sie den Hinweis, dass Outlook neu gestartet werden muss, damit die Änderungen in Kraft treten mit OK.
Schritt 6
Es öffnet sich ein neues Fenster.
Sie können einen frei gewählten Anzeigenamen vergeben.
Unter Verbindungsdetails muss Anschluss: 636 eingefüllt werden.
Schritt 7
Unter Suche müssen Sie unter Suchbasis Benutzerdefiniert auswählen.
Tragen Sie dort die Suchbasis für das gewünschte Adressbuch ein. Beispielsweise ou=DFN-PKI,o=DFN-Verein,c=de.
Bitte setzen Sie keinen Haken bei Suche aktivieren.
Um die Einstellungen abzuschließen klicken Sie auf Übernehmen.
Schritt 8
Sie werden zurück zum Fenster Konto hinzufügen geleitet. Klicken Sie nun auf Weiter.
Schritt 9
Die Einstellungen sind nun konfiguriert. Klicken Sie dann auf Fertig stellen.
Sie sehen nun das neue Adressbuch in Ihrer Adressbuch Übersicht.
Schritt 10
Klicken Sie nun auf Schließen.
Falls Sie Ihr System während der Konfiguration noch nicht neu gestartet haben führen Sie dies bitte als Abschluss durch.
Nutzerzertifikate in Thunderbird einbinden
Um sicherzustellen, dass nur für Sie persönlich Zugriff auf Thunderbird möglich ist, sollte ein Master Passwort gesetzt werden.
P12-Datei importieren
Die p12-Datei, welche über die DFN-PKI Webseite erstellt wurde, enthällt neben dem eigenen Zertifikat auch alle Zertifikate der Kette.
Wurde aber bspw. openssl verwendet, so müssen die CA-Zertifikate "intermediatecacert.pem" und "cacert.pem" heruntergeladen werden
Anschließend können diese dann importiert werden. Folgen Sie dazu diesen Schritten.
Schritt 1
Öffnen Sie Thunderbird und klicken Sie auf das Options Menü. Wählen Sie dann Optionen aus.
Schritt 2
Im Fenster Optionen wählen Sie Privatsphäre & Sicherheit.
Klicken Sie dann auf Zertifikate verwalten.
Schritt 3
Im Zertifiakts-Manager sehen Sie bereits aktive Zertifikate.
Stellen Sie sicher, dass Sie sich im Reiter Meine Zertifikate befinden.
Klicken Sie auf Importieren um ein neues Zertifikat hinzuzufügen und wählen Sie die passende Datei aus.
Schritt 4
Wenn Sie das Zertifikat ausgewählt haben klicken Sie auf Öffnen.
Das Zertifikat ist nun eingebunden.
Automatische Signatur konfigurieren
Schritt 1
Öffnen Sie Thunderbird und klicken Sie auf das Options Menü. Wählen Sie dann Account Einstellungen aus.
Schritt 2
Wählen Sie dann den Menüpunkt Ende zu Ende Verschlüsselung.
Setzen Sie falls gewünscht den haken bei Meine digitale Signatur standardmäßig hinzufügen sofern Sie die Signatur und Verschlüsselung bei jeder versendeten E-Mail aktiv haben wollen.
Schritt 3
Um ein Zertifiakt auszuwählen klicken Sie auf Auswählen.
DFN-LDAP als Adressbuch einbinden
Schritt 1
Öffnen Sie Thunderbird und klicken Sie auf das Options Menü. Wählen Sie dann Optionen aus.
Schritt 2
Öffnen Sie den Menüpunkt Verfassen (1).
Scrollen Sie zur Überschrift Adressieren (2).
Setzen Sie den Haken vor LDAP-Verzeichnisserver (3) und klicken Sie dann auf Bearbeiten... (4).
Schritt 3
Es öffnet sich ein neues Fenster. Wählen Sie hier Hinzufügen.
Schritt 4
Es öffnet sich ein neues Fenster. Geben Sie hier folgende Einstellungen ein:
- Name: Name des Adressbuches (z.B. ldap-DFN-PKI)
- Serveradresse: ldap.pca.dfn.de
- Basis-DN: ou=DFN-PKI,o=DFN-Verein,c=de
- Port-Nummer: 636
- Bind-DN: leer lassen!
- Haken bei "Verschlüsselte Verbindung (SSL) verwenden" setzen
Wenn die Einstellungen gesetzt sind den Dialog mit Klicken auf OK bestätigen.
Danach ist das Adressbuch unter "Adressbuch" in der Menüleiste zu finden
