Sie befinden sich im Service: RWTH-E-Mail

Nutzerzertifikate einbinden

Nutzerzertifikate einbinden

Kurzinformation

In diesem Artikel wird erklärt, wie Sie Nutzerzertifikate in unterstützte E-Mail-Clients einbinden und diese zum verschlüsseln und signieren verwenden können.

  1. Nutzerzertifikate in Outlook einbinden
    1. Eigene p12-Datei in den Windows-Zertifikatsspeicher importieren
    2. Automatische Signatur konfigurieren
    3. E-Mail Verschlüsselung konfigurieren (optional)
    4. DFN-LDAP als Adressbuch einbinden (optional)
  2. Nutzerzertifikate in Thunderbird einbinden
    1. p12-Datei importieren
    2. Automatische Signatur konfigurieren
    3. DFN-LDAP als Adressbuch einbinden

Detailinformation

1. Nutzerzertifikate in Outlook einbinden

Diese Anleitung wurde mit Outlook 2016 in Windows 10 erstellt (Stand 23.04.2020).

 

Hinweis

GÉANT/TCS-Zertifikate für funktionale E-Mail-Adressen werden ohne CN (Common Name) ausgestellt. Dies erschwert die Konfiguration von dem Zertifikat über das Trust Center von Outlook, falls man mehrere (funktionale) E-Mail-Adressen nutzt, da es unmöglich zu identifizieren ist, welches Zertifikat zu welcher E-Mail-Adresse gehört.

Um das Problem zu lösen, kann man den Anzeigenamen von dem Zertifikat anpassen.

 

I. Eigene p12-Datei in den Windows-Zertifikatsspeicher importieren

Um Dokumente elektronisch unterschreiben oder signierte E-Mails versenden oder verschlüsselte E-Mails empfangen zu können, müssen Sie zuerst Ihr persönliches Nutzerzertifikat in den Zertifikatsspeicher von Windows importieren.

Dazu suchen Sie auf Ihrem Rechner nach der Zertifikatsdatei (.p12-Datei) und führen Sie diese mit einem Doppelklick aus:

p12-Datei im Windows Zertifikatsspeicher importieren 1

Dies öffnet den Zertifikatsimport-Assistenten von Windows:

p12-Datei im Windows Zertifikatsspeicher importieren2

Nach dem Klick auf "Weiter" werden Sie zur Dateiauswahl weitergeleitet. Hier ist das Feld bereits ausgefüllt, da Sie die Datei bereits ausgewählt haben. Klicken Sie auf "Weiter":

p12-Datei im Windows Zertifikatsspeicher importieren3

Im nächsten Schritt geben Sie das Kennwort ein, welches Sie gesetzt haben, als Sie die .p12-Datei erzeugt haben.

Wählen Sie die Importoptionen aus:

  • Aktivieren Sie "Hohe Sicherheit für den privaten Schlüssel" NICHT. Das gesagt, stellen Sie immer sicher, dass Ihr Rechner ausreichend von Zugriff Dritter geschützt ist. 
  • Sollten Sie "Hohe Sicherheit" wählen wollen, dann folgten 3 weitere Fenster (werden hier nicht abgebildet) wo Sie ein CryptoAPI-Passwort setzen müssten. Dieses Passwort müssten Sie fortan bei jedem Versenden einer digital signierten E-Mail eingeben.
  • "Schüssel als exportierbar" wählen, sodass Sie aus dem Windows-Zertifikatsspeicher später eine .p12-Datei erzeugen können.
    • Die Option ist nützlich, als Backpack, sollten Sie Ihre .p12-Datei ungewollt vernichten.

p12-Datei im Windows Zertifikatsspeicher importieren 4

Wählen Sie den Zertifikatsspeicher aus:

p12-Datei im Windows Zertifikatsspeicher importieren 5

Klicken Sie auf "Fertig stellen", um den Import anzuschließen:

p12-Datei im Windows Zertifikatsspeicher importieren 6

Bestätigen Sie den erfolgreichen Importvorgang mit OK:

p12-Datei im Windows Zertifikatsspeicher importieren 7

 

II. Automatische Signatur konfigurieren

 

Hinweis

Bevor die Konfiguration von Outlook beginnen kann, müssen Sie Ihr persönliches Nutzerzertifikat in den Windows-Zertifikatsspeicher importieren.

Falls Sie noch kein Nutzerzertifikat besitzen, können Sie über das RA-Portal ein Nutzerzertifikat beantragen.

Digitale Signaturen erlauben dem Empfänger einer E-Mail

  • die Identität eines Absenders zu prüfen.
  • sicher zu sein, dass die E-Mail auf dem Weg nicht verändert wurde.

Alte Zertifikate können auch durch neue Zertifikate ersetzt werden.

 

Konfiguration

In den Einstellungen für das Trust Center von Outlook (Datei → Optionen → Trust Center) können Sie unter E-Mail-Sicherheit Outlook zum automatischen Signieren konfigurieren.

 E-Mail signieren 1

E-Mail signieren 2

E-Mail signieren 3

Um Ihre Nachrichten automatisch zu signieren, wählen Sie bitte im Feld "Verschlüsselte E-Mail-Nachrichten" folgende Optionen aus:

  • Ausgehenden Nachrichten digitale Singnatur hinzufügen.
  • Signierte Nachrichten als Klartext senden.

Wählen Sie anschließend "Einstellungen" aus.

 

Optional: Falls Sie Ihr Zertifikat noch nicht in Windows importiert haben, können Sie dies mit dem Importieren/Exportieren Button nachholen. Sie müssen dann nach ihrer p12-Datei suchen und das passende Kennwort eingeben.

E-Mail signieren 4

Wenn Sie bereits ein Zertifikat eingepflegt haben, können Sie dieses durch ein neues Zertifikat ersetzen (z.B. wenn ein altes Zertifikat abläuft).

Das neue Zertifikat muss im Windows Zertifikatsspeicher importiert sein. Im Falle von Zertifikaten für funktionale E-Mail-Adressen empfehlen wir den Anzeigenamen von dem Zertifikat anzupassen.

Durch Klicken auf "Auswählen" können Sie das neue Zertifikat jeweils als Signaturzertifikat und Verschlüsselungszertifikat auswählen.

  • Möchten Sie ein Nutzerzertifikat für eine weitere E-Mail-Adresse einbinden, so können Sie es über den Button "Neu" machen. Dadurch werden alle Felder leer und Sie können eine neue Sicherheitseinstellung hinzufügen.

Zertifikat Auswählen

Passen Sie den Signatur- und Verschlüsselungs- Algorithmus an:

  • Kreuzen Sie die beiden Kästchen im Feld "Kryptografieformat" an.
  • Einstellung für Hashalgorithmus: SHA256
  • Einstellung für Verschlüsselungsalgorithmus: AES (256-bit)
  • Kreuzen Sie das Kästchen "Signierten Nachrichten diese Zertifikate hinzufügen" an.

E-Mail signieren 5

 

Digital signierte E-Mail versenden (optional)

    Sollten Sie bei der Konfiguration von Outlook die Option zum automatischen Signieren ausgewählt haben, so werden Ihre Nachrichten immer signiert versendet. 

    E-Mail signieren 6

    Die digitale Signatur wird an die E-Mail angehängt und kann mit dem Klick auf das Signatur-Symbol überprüft werden.

    E-Mail signieren 7

    "Gültig" bedeutet, dass der Hashwert der elektronischen Signatur stimmt, d.h. der E-Mail-Inhalt wurde auf dem Weg nicht verändert.

    "Vertrauenswürdig" bedeutet, der dazugehöriger öffentlicher RSA-Schlüssel des Absenders würde in einem Nutzerzertifikat mitgeliefert, das von einer PKI ausgestellt wurde und deren Zertifikatskette im Trust Center von Outlook verankert ist.

    Um die Identität des Absenders zu sehen, muss man "Details" aufrufen.

    E-Mail signieren 8

    Wählen Sie den Unterzeichner und klicken Sie auf „Details anzeigen“.

    E-Mail signieren 9

    Unter "Allgemein" kann man sich das Zertifikat anzeigen lassen. Klicken Sie auf „Zertifikat anzeigen...“, um die Zertifikatsdetails anzuzeigen.

    E-Mail signieren 10

    Auf der Registerkarte „Zertifizierungspfad“ sehen Sie die Zertifikate in der Zertifikatskette und das Zertifikat des Absenders am Ende der Kette.

    • T-TeleSec ist das Stammzertifikat (in Outlook vorinstalliert)
    • DFN-Verein sind die beiden Zwischenzertifikate
    • das Benutzerzertifikat des Absenders steht am Ende der Kette

    In diesem Beispiel verwendet der Absender ein persönliches Zertifikat.  "Erika Mustermann" ist der Wert des Feldes "Common Name" im Nutzerzertifikat, welcher dem Empfänger erlaubt, die Identität des Absenders zu prüfen.

    E-Mail signieren 11

     

    III. E-Mail Verschlüsselung konfigurieren (optional)

    Verschlüsselung konfigurieren 1

    Mit dieser Einstellung versucht Outlook alle ausgehende E-Mails zu verschlüsseln. Verschlüsseln ist nur möglich wenn Outlook der öffentlicher RSA-Schlüssel des Empfängers bekannt ist. Dafür muss entweder ein Handshake erfolgt sein (d.h. Sie haben eine signierte E-Mail vom Empfänger schon erhalten) oder Sie haben das Nutzerzertifikat des Empfänger mit Hilfe des PKI LDAP Servers im Outlook gespeichert. In beiden Fällen muss der Empfänger explizit als eigener "Kontakt" gespeichert werden.

     
    Verschlüsselung konfigurieren 2

    Wenn "verschlüsseln" über das Trust Center gesetzt wurde, ist "Verschlüsseln" schon vorgewählt. Sonst müssen Sie dies pro E-Mail auswählen.

     
    Verschlüsselung konfigurieren 3

    Fehlermeldung wenn die E-Mail nicht verschlüsselt werden kann, z.B. Outlook kennt den öffentlichen RSA-Schlüssel des Empfängers nicht.

    Eine Möglichkeit, dieses Problem zu umgehen, ist die Verwendung des DFN-LDAP als Adressbuch.

     
    Verschlüsselung konfigurieren 4

    Die empfangene E-Mail ist verschlüsselt und signiert

    Der Betreff ist nie verschlüsselt.

    Man kann den Text nur dann lesen, wenn Outlook das "eigene" (des Empfängers) Nutzerzertifikat kennt.

    Das "Schloss" Symbol wählen.

     
    Verschlüsselung konfigurieren 5

    Die E-Mail ist verschlüsselt und signiert.
    Über "Details anzeigen" kommen Sie zu zusätzlichen Informationen über die Verschlüsselung.

     
    Verschlüsselung konfigurieren 6

    Verschlüsselungsdetails

     

    IV. DFN-LDAP als Adressbuch einbinden (optional)

    Der DFN-PKI LDAP Server wird benötigt um eine verschlüsselte E-Mail an einen Empfänger zu senden, dessen öffentlichen RSA-Schlüssel man nicht hat.
    Der Empfänger muss ein Nutzerzertifikat von der DFN-PKI erhalten und dessen Veröffentlichung im LDAP zugestimmt haben.

    DFN konfigurieren 1

    DFN konfigurieren 2

    DFN konfigurieren 3

    DFN konfigurieren 4

    DFN konfigurieren 5

    Servername ist "ldap.pca.dfn.de"

     
    DFN konfigurieren 6

    Dies ist nur ein Hinweis. Bitte führen Sie nach der Bestätigung mit "OK" einen Neustart manuell durch.

     
    DFN konfigurieren 7

    Eine verschlüsselte Verbindung zum LDAP-Server aufbauen. Anzeigename kann "ldap-DFN-PKI" sein. Anschluss muss "636" sein.

     

    Die Suchbasis definieren. Suchbasis kann "ou=DFN-PKI,o=DFN-Verein,c=de" sein.

    (Serverünterstützung bitte nicht auswählen)

    DFN konfigurieren 9

    DFN konfigurieren 10

    DFN konfigurieren 11

    Falls Sie Ihr System während der Konfiguration noch nicht neu gestartet haben führen Sie dies bitte als Abschluss durch.

     

    2. Nutzerzertifikate in Thunderbird einbinden

     

    I. p12-Datei importieren

     

    Bitte beachten Sie:

    Um sicherzustellen, dass nur für Sie persönlich Zugriff auf Thunderbird möglich ist, sollte ein Master Passwort gesetzt werden.

    Die p12-Datei, welche über die DFN-PKI Webseite erstellt wurde, enthällt neben dem eigenen Zertifikat auch alle Zertifikate der Kette.
    Wurde aber bspw. openssl verwendet, so müssen die CA-Zertifikate "intermediatecacert.pem" und "cacert.pem" heruntergeladen werden

    Anschließend können diese dann importiert werden:

    • Zertifikatsspeicher öffnen um das eigene Zertifikat inkl. RSA Schlüsselpaar zu importieren

    Thunderbird 1

    Thunderbird 2

    • Eigenes Zertifikat importieren

    Thunderbird 3
    Thunderbird 4

    • Prüfen, ob der Import erfolgreich war

    5

    • Anschließend alle geöffneten Fenster wieder schließen
     

    II. Automatische Signatur konfigurieren

     

    Bitte beachten Sie:

    Bevor die Konfiguration beginnen kann, müssen Sie Ihr persönliches E-Mail-Zertifikat in den Zertifikatsspeicher importieren.
    Falls Sie noch kein Zertifikat besitzen, können Sie dies über das RA-Portal beantragen. Weitere Informationen dazu finden Sie hier.

    Sicherheits-Einstellungen für das Konto/Account öffnen

    Thunderbird 6.1

    Zertifikat für das Signieren (automatisch) und Verschlüsseln auswählen

    Thunderbird 8

    Abschließend alle geöffneten Fenster wieder schließen

     

    III. DFN-LDAP als Adressbuch einbinden

     

    Bitte beachten Sie:

    Durch das Einbinden des DFN-LDAP als Adressbuche, können Zertifikat und öffentlicher Schlüssel auch von dort bezogen werden, um mit Personen initial vertraulich zu kommunizieren.
    Daher sollte jedes Nutzerzertifikat veröffentlicht werden

    In Thunderbird rechts das "Burger Menü" (drei Streifen) auswählen und dort "Einstellungen" auswählen:

    • Register "Verfassen" (1) öffnen
    • Dort bis zur Überschrift "Adressieren" (2) scrollen
    • Haken bei "LDAP-Verzeichnisserver" (3) setzen und "Bearbeiten..." (4) anklicken

    Thunderbird 78.x LDAP 3 

    Nun auf "Hinzufügen" klicken und im erscheinenden Fenster folgende Einstellungen übernehmen:

    Thunderbird 78.x LDAP 2

    Einstellungen für DFN LDAP Adressbuch

    • Name: Name des Adressbuches (z.B. ldap-DFN-PKI)
    • Serveradresse: ldap.pca.dfn.de
    • Basis-DN: ou=DFN-PKI,o=DFN-Verein,c=de
    • Port-Nummer: 636
    • Bind-DN: leer lassen!
      • Haken bei "Verschlüsselte Verbindung (SSL) verwenden" setzen

    Wenn die Einstellungen gesetzt sind den Dialog mit Klicken auf "OK" bestätigen.
    Danach ist das Adressbuch unter "Adressbuch" in der Menüleiste zu finden 


      Zusatzinformation

    zuletzt geändert am 28.08.2024

    Wie hat Ihnen dieser Inhalt geholfen?

    Creative Commons Lizenzvertrag
    Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz