Auf dieser Seite erfahren Sie, wie Sie Nutzerzertifikate in unterstützte E-Mail-Clients einbinden und diese zum verschlüsseln und signieren verwenden können.
Falls Sie noch kein Nutzerzertifikat besitzen, können Sie über das RA-Portal ein Nutzerzertifikat beantragen.

• Nutzerzertifikate in Outlook einbinden
  • P12-Datei importieren
  • Automatische Signatur konfigurieren
  • E-Mail Verschlüsselung konfigurieren (optional)
  • Zertifikate überprüfen 
• Nutzerzertifikate in Thunderbird einbinden
  • p12-Datei importieren
  • Automatische Signatur konfigurieren
• Nutzerzertifikate in Apple Mail (iOS) einbinden 

Nutzerzertifikate in Outlook einbinden

GÉANT/TCS-Zertifikate für funktionale E-Mail-Adressen werden ohne CN (Common Name) ausgestellt. Dies erschwert die Konfiguration von diesen Zertifikaten über das Trust Center von Outlook.
Sofern mehrere (funktionale) E-Mail-Adressen genutzt werden, ist es nicht möglich zu identifizieren, welches Zertifikat zu welcher E-Mail-Adresse gehört.

Um das Problem zu lösen, kann man den Anzeigenamen von Zertifikaten anpassen.

P12-Datei importieren

Um Dokumente elektronisch unterschreiben, signierte E-Mails versenden oder verschlüsselte E-Mails empfangen zu können, müssen Sie zuerst Ihr persönliches Nutzerzertifikat in den Zertifikatsspeicher von Windows importieren.

Schritt 1
Suchen Sie dazu auf Ihrem Rechner nach der Zertifikatsdatei (.p12-Datei) und führen Sie diese mit einem Doppelklick aus:

Schritt 2
Dies öffnet den Zertifikatsimport-Assistenten von Windows:

Schritt 3
Nach dem Klick auf Weiter werden Sie zur Dateiauswahl weitergeleitet.
Das Feld sollte bereits ausgefüllt sein, sofern Sie die Datei bereits ausgewählt haben.
Alternativ klicken Sie auf Durchsuchen und finden Sie die Datei an ihrem Ablageort.
Klicken Sie dann auf "Weiter":

Schritt 4
Im nächsten Schritt geben Sie das Kennwort ein, welches Sie gesetzt haben, als Sie die .p12-Datei erzeugt haben.

Zusätzlich können Sie die Importoptionen auswählen:

• Aktivieren Sie Hohe Sicherheit für den privaten Schlüssel bitte NICHT. Stellen Sie trotzdem immer sicher, dass Ihr Rechner ausreichend vor dem Zugriff durch Dritte geschützt ist. 
• Sollten Sie Hohe Sicherheit wählen, müssen Sie zusätzlich ein CryptoAPI-Passwort setzen. Dieses Passwort muss dann bei jedem Versenden einer digital signierten E-Mail eingeben werden.
• Sie können Schüssel als exportierbar markieren auswählen, damit Sie aus dem Windows-Zertifikatsspeicher später eine .p12-Datei erzeugen können.
  • Die Option ist nützlich, als Backup, sollten Sie Ihre .p12-Datei ungewollt löschen.

Sobald Sie die gewünschten Einstellungen vorgenommen haben, klicken Sie auf Weiter.

Schritt 5
Im nächsten Fenster wählen Sie den Zertifikatsspeicher automatisch auswählen aus.
Klicken Sie dann auf Weiter.

Schritt 6
Sie können die ausgewählten Daten noch einmal überprüfen.
Sofern alles korrekt eingetragen ist, klicken Sie auf Fertig stellen.

Schritt 7
Bestätigen Sie den erfolgreichen Importvorgang mit OK:

Automatische Signatur konfigurieren

Digitale Signaturen erlauben dem Empfänger einer E-Mail

• die Identität eines Absenders zu prüfen.
• sicher zu sein, dass die E-Mail auf dem Weg nicht verändert wurde.

Alte Zertifikate können auch durch neue Zertifikate ersetzt werden.

Um eine automatische Signatur zu konfigurieren folgen Sie bitte diesen Schritten:

Schritt 1
Öffnen Sie Outlook und wählen Sie Datei > Optionen > Trust Center.

Schritt 2
Um Ihre Nachrichten automatisch zu signieren, wählen Sie bitte im Feld Verschlüsselte E-Mail-Nachrichten folgende Optionen aus:

• Ausgehenden Nachrichten digitale Singnatur hinzufügen.
• Signierte Nachrichten als Klartext senden.

Falls Sie Ihr Zertifikat noch nicht in Windows importiert haben, können Sie dies mit dem Importieren/Exportieren Button nachholen. Sie müssen dann nach ihrer p12-Datei suchen und das passende Kennwort eingeben.

Schritt 3
Wählen Sie anschließend Einstellungen aus.
Hier können Sie ein neues Zertifikat auswählen, oder ein bestehendes Zertifikat auswechseln (z.B. wenn ein altes Zertifikat abläuft).

Durch Klicken auf Auswählen können Sie ein Zertifikat jeweils als Signaturzertifikat und Verschlüsselungszertifikat auswählen.
Möchten Sie ein Nutzerzertifikat für eine weitere E-Mail-Adresse einbinden, so können Sie es über den Button Neu durchführen.
Dadurch werden alle Felder leer und Sie können eine neue Sicherheitseinstellung hinzufügen.

Passen Sie den Signatur- und Verschlüsselungs- Algorithmus an:

• Kreuzen Sie die beiden Kästchen im Feld Kryptografieformat an.
• Einstellung für Hashalgorithmus: SHA256
• Einstellung für Verschlüsselungsalgorithmus: AES (256-bit)
• Kreuzen Sie das Kästchen Signierten Nachrichten diese Zertifikate hinzufügen an.

Schritt 4
Mit klicken auf OK schließen Sie den Vorgang ab.

Zertifikate überprüfen

Schritt 1
Sollten Sie bei der Konfiguration von Outlook die Option zum automatischen Signieren ausgewählt haben, so werden Ihre Nachrichten immer signiert versendet. 

Schritt 2
Die digitale Signatur wird an die E-Mail angehängt und kann mit dem Klick auf das Signatur-Symbol überprüft werden.

Schritt 3
Im Fenster das sich öffnet können Sie den Status der Signatur prüfen.

• Gültig bedeutet, dass der Hashwert der elektronischen Signatur stimmt, d.h. der E-Mail-Inhalt wurde auf dem Weg nicht verändert.
• Vertrauenswürdig bedeutet, der dazugehöriger öffentlicher RSA-Schlüssel des Absenders würde in einem Nutzerzertifikat mitgeliefert, das von einer PKI ausgestellt wurde und deren Zertifikatskette im Trust Center von Outlook verankert ist.

Schritt 4
Um die Identität des Absenders zu sehen, klicken Sie auf Details.

Schritt 5
Wählen Sie den Unterzeichner und klicken Sie auf Details anzeigen.

Schritt 6
Unter Allgemein kann man sich das Zertifikat anzeigen lassen.
Klicken Sie auf Zertifikat anzeigen..., um die Zertifikatsdetails anzuzeigen.

Schritt 7
Auf der Registerkarte „Zertifizierungspfad“ sehen Sie die Zertifikate in der Zertifikatskette und das Zertifikat des Absenders am Ende der Kette.

• T-TeleSec ist das Stammzertifikat (in Outlook vorinstalliert)
• DFN-Verein sind die beiden Zwischenzertifikate
• das Benutzerzertifikat des Absenders steht am Ende der Kette

In diesem Beispiel verwendet der Absender ein persönliches Zertifikat.  "Erika Mustermann" ist der Wert des Feldes Common Name im Nutzerzertifikat, welcher dem Empfänger erlaubt, die Identität des Absenders zu prüfen.

E-Mail Verschlüsselung konfigurieren (optional)

Schritt 1
Öffnen Sie Outlook und wählen Sie Datei > Optionen > Trust Center.

Schritt 2
Wählen Sie im Fenster das sich öffnet die Option E-Mail-Sicherheit.
Setzen Sie einen Haken bei der Option Inhalt und Anlagen für ausgehende Nachrichten verschlüsseln.

Mit dieser Einstellung versucht Outlook alle ausgehende E-Mails zu verschlüsseln. Verschlüsseln ist nur möglich wenn Outlook der öffentlicher RSA-Schlüssel des Empfängers bekannt ist.
Dafür muss entweder ein Handshake erfolgt sein (d.h. Sie haben eine signierte E-Mail vom Empfänger schon erhalten) oder Sie haben das Nutzerzertifikat des Empfänger mit Hilfe des PKI LDAP Servers im Outlook gespeichert.
In beiden Fällen muss der Empfänger explizit als eigener Kontakt gespeichert werden.

Schritt 3
Wenn Sie eine E-Mail versenden wollen und verschlüsseln unter Schritt 2 über das Trust Center gesetzt wurde, ist diese Option schon vorgewählt.
Alternativ müssen Sie dies pro E-Mail auswählen.

Schritt 4
Sofern alles korrekt konfiguriert wurde, sind E-Mails die versendet werden nun automatisch verschlüsselt und signiert.
Der Betreff ist dabei nie verschlüsselt. Man kann den Text nur dann lesen, wenn Outlook das "eigene" Nutzerzertifikat (des Empfängers) kennt.

Wenn die E-Mail nicht verschlüsselt werden kann, da z.B. Outlook den öffentlichen RSA-Schlüssel des Empfängers nicht kennt, erhalten Sie eine Fehlermeldung.
Eine Möglichkeit, dieses Problem zu umgehen, ist die Verwendung des DFN-LDAP als Adressbuch.

Zur Überprüfung der Verschlüsselung können Sie das Schloss-Symbol wählen.

Schritt 5
Es öffnet sich ein neues Fenster in dem Sie die Eigenschaften der Signatur einsehen können.
In diesem Beispiel ist die E-Mail verschlüsselt und signiert.
Über Details anzeigen kommen Sie zu zusätzlichen Informationen über die Verschlüsselung.

Nutzerzertifikate in Thunderbird einbinden

Um sicherzustellen, dass nur für Sie persönlich Zugriff auf Thunderbird möglich ist, sollte einMaster Passwortgesetzt werden.

P12-Datei importieren

Die p12-Datei, welche über die DFN-PKI Webseite erstellt wurde, enthällt neben dem eigenen Zertifikat auch alle Zertifikate der Kette.
Wurde aber bspw. openssl verwendet, so müssen die CA-Zertifikate "intermediatecacert.pem" und "cacert.pem" heruntergeladen werden

Anschließend können diese dann importiert werden. Folgen Sie dazu diesen Schritten.

Schritt 1
Öffnen Sie Thunderbird und klicken Sie auf das Options Menü. Wählen Sie dann Optionen aus.

Schritt 2
Im Fenster Optionen wählen Sie Privatsphäre & Sicherheit.
Klicken Sie dann auf Zertifikate verwalten.

Schritt 3
Im Zertifiakts-Manager sehen Sie bereits aktive Zertifikate.
Stellen Sie sicher, dass Sie sich im Reiter Meine Zertifikate befinden.
Klicken Sie auf Importieren um ein neues Zertifikat hinzuzufügen und wählen Sie die passende Datei aus.

Schritt 4
Wenn Sie das Zertifikat ausgewählt haben klicken Sie auf Öffnen.

Das Zertifikat ist nun eingebunden.

Automatische Signatur konfigurieren

Schritt 1
Öffnen Sie Thunderbird und klicken Sie auf das Options Menü. Wählen Sie dann Account Einstellungen aus.

Schritt 2
Wählen Sie dann den Menüpunkt Ende zu Ende Verschlüsselung.
Setzen Sie falls gewünscht den haken bei Meine digitale Signatur standardmäßig hinzufügen sofern Sie die Signatur und Verschlüsselung bei jeder versendeten E-Mail aktiv haben wollen.

Schritt 3
Um ein Zertifiakt auszuwählen klicken Sie auf Auswählen.

Nutzerzertifikate in Apple Mail (iOS) einbinden

Um ein Nutzerzertifikat auf ein iOS-Gerät zu importieren und E-Mails mit Ihrer digitalen Signatur zu signieren, führen Sie folgende Schritte durch:

1. Laden Sie die .p12-Zertifikatsdatei auf Ihr Gerät. Die Datei sollte sowohl Ihre kryptographische Schlüssel, Ihr S/MIME Zertifikat als auch die relevante Zertifikatskette enthalten. Daraufhin wird eine Benachrichtigung angezeigt, dass ein Profil geladen wurde.
2. Gehen Sie zu Einstellungen > VPN und Geräteverwaltung und wählen Sie Identitätszertifikat in der Liste der geladenen Profile.
3. Installieren Sie das Profil. 
4. Bestätigen Sie, dass Sie das Profil Installieren möchten, obwohl es nicht signiert ist.
5. Geben Sie das Passwort für Ihre Zertifikatsdatei ein. 
6. Klicken Sie auf Fertig und die Installation abschließen.

Um das Zertifikat zu Signieren von E-Mails zu verwenden, führen Sie folgende Schritte durch:

1. Gehen Sie zu Einstellungen und suchen Sie nach Mail-Accounts.
2. Wählen Sie das den Account aus, das Sie für die Verwendung Ihres Zertifikats konfigurieren möchten, das sollte die E-Mail-Adresse sein, für die das S/MIME ausgestellt wurde. 
3. Öffnen Sie die Accounteinstellungen > Erweiterte Einstellungen.
4. Wählen Sie die Option Signieren aus und aktivieren diese.
5. Wählen Sie aus der Liste der auf dem Gerät installierten Zertifikate aus, welches Zertifikat verwendet werden soll.

Wenn Sie zu den erweiterten Einstellungen zurückkehren, sollte Signieren auf Ja eingestellt sein.

Sie können die Einstellungen verlassen. Apple Mail ist nun so konfiguriert, dass E-Mails mit Ihrem Benutzerzertifikat signiert werden.

Weitere Informationen:

• Einrichtung Outlook E-Mail-Client
• Einrichtung Thunderbird E-Mail-Client
• Nutzerzertifikate
• LDAP-Adressbuch einbinden und nutzen