Inhaltsverzeichnis

• Voraussetzungen
• Zertifikat besorgen
• Installation der Zertifikate in die Zertifikatsverwaltung
• Export Ihres Zertifikats aus dem Browser
• KMail bzw. Kontact einrichten
• Die Praxis mit Kmail

Voraussetzungen

Unter Linux haben Sie die Mög­lich­keit sich ent­weder mit­tels des Befehls openssl zu arbei­ten oder ein Soft­ware-Paket namens TinyCA zu instal­lieren, um sich eine eigene PKI auf­zu­bauen. Dazu müs­sen Sie sich zuerst ein Zer­ti­fi­kat für eine eigene Zer­ti­fi­zie­rungs-Authori­tät (CA) auf­bauen. Dann müs­sen Sie ein Benut­zer­zer­ti­fi­kat für Sie bzw. Ihre E-Mail-Adresse erstel­len, die­ses mit dem Zer­ti­fi­kat der CA sig­nie­ren und es dann expor­tie­ren. Aller­dings hat das Ver­fah­ren, eine eigene PKI auf­zu­bauen, den Nach­teil, dass das Zer­ti­fi­kat Ihrer CA nir­gends aner­kannt ist und Kom­muni­ka­tions­part­ner, die mit Ihnen ver­schlüs­selte und digi­tal sig­nierte E-Mails aus­tau­schen wol­len, nicht nur über Ihr Zer­ti­fi­kat son­dern auch über das Zer­ti­fi­kat Ihrer CA ver­fügen müs­sen. Den­noch macht so etwas Sinn, z. B., wenn eine Firma Ihre eigene PKI auf­baut.

Ich gehe hier von einer Standard Linux Desktop Instal­la­tion aus, bei der KDE als Benut­zer­ober­fläche instal­liert wurde. In Abwei­chung zur über­schrift, kommt der KDE-PIM Kontact zum Ein­satz, was aber kaum eine Rolle spielt, da dies eigen­tlich nur ein Con­tainer für andere Pro­gram­me ist. Das E-Mail-Programm in Kontact ist KMail, wes­halb die Beschrei­bun­gen grund­sätz­lich iden­tisch sind. Man kann KMail natür­lich auch als Ein­zel­pro­gramm nut­zen, jedoch bie­tet Kontakt mehr Kom­fort und fasst eigen­tlich alles zusam­men, was man für die Kom­muni­ka­tion braucht. Kontakt wird bei eini­gen Distri­bu­tio­nen stan­dard­mäß mit instal­liert, wenn man KDE als Desktop aus­wählt, bei ande­ren muss man es separat mit der Paket­ver­waltung instal­lie­ren. Das Paket trägt den Namen kdepim.

Alle andere benö­tig­te Soft­ware ist bereits "an Bord". Wei­tere Pakete müs­sen also nicht instal­liert wer­den.

Zertifikat besorgen

Wir wol­len hier aber von dem Szenario aus­gehen, dass Sie sich von einem aner­kann­ten Zer­ti­fi­zie­rungs­dienst­an­bie­ter ein Zer­ti­fi­kat besor­gen. Als Anlauf­stelle möchten wir Ihnen hier die Fa. TC Trustcenter nen­nen, die Privat­per­so­nen für die nicht ko­mmer­zielle Nut­zung kosten­lose Zer­ti­fi­kate mit einer Gültig­keit von einem Jahr anbie­tet.

Gehen Sie auf die Website von TC Trustcenter. Benut­zen Sie dazu den Browser Mozilla Firefox, da wir uns in der wei­te­ren Beschrei­bung auf die­sen beziehen. Soll­ten Sie einen ande­ren Browser ver­wenden, müs­sen Sie Ihr Zer­ti­fi­kat spä­ter aus diesem expor­tie­ren, um es in den E-Mail-Client bzw. des­sen Zer­ti­fi­kats­ver­wal­tung impor­tie­ren zu kön­nen. Ach­ten Sie auf jeden Fall bei der Erstel­lung des Zer­ti­fi­kats darauf, dass Sie für Ihren pri­va­ten Schlüs­sel ein siche­res Pass­wort ver­ge­ben, das auch eine aus­rei­chende Länge hat. Da die mit Ihrem pri­va­ten Schlüs­sel erzeug­ten digi­ta­len Sig­na­tu­ren auch Ihre Identi­tät bezeu­gen, muss ein star­kes Pass­wort gewählt wer­den. Schwa­che Pass­wörter bein­hal­ten die Gefahr, dass unbe­fugte Per­so­nen an Ihren pri­va­ten Schlüs­sel kommen und damit Ihre Identi­tät anneh­men kön­nen.

Auf der Website von TC Trustcenter wäh­len Sie Produket & Services aus der Menü­leiste am obe­ren Rand der Seite und dort TC Certificates. Sie lan­den auf einer Seite auf der Sie sofort TC Internet ID sehen. Dort klicken Sie auf mehr und erhal­ten dann genü­gend Infor­ma­tio­nen, um ein kosten­loses Zer­ti­fi­kat bean­tragen zu kön­nen. Da diese Infor­ma­tionen den gesam­ten Vor­gang aus­rei­chend genau erklä­ren, wird auf die Bean­tr­agung Ihres Zer­ti­fi­kats bei TC Trustcenter nicht weiter einge­gan­gen.

Eine Sache ist aber noch wichtig. Damit Sie mit Ihrem Zer­ti­fi­kat auch wirk­lich arbei­ten kön­nen: Wäh­rend die Zer­ti­fi­kate der Zer­ti­fi­kat­an­bie­ter für kom­mer­zielle Zer­ti­fi­kate in Ihren Browser in der Regel fest einge­baut sind, müs­sen Sie das Zer­ti­fi­kat, das die Echt­heit Ihres kosten­losen Zer­ti­fi­kats bestä­tigt, erst noch von TC Trustcenter herunter­laden.

Gehen Sie hierzu folgender­maßen vor: Gehen Sie auf die Website von TC Trustcenter und wäh­len Sie Service Center und dort Root-Zertifikate. Auf der Seite, die dann erscheint sehen Sie ganz oben 1.1 TC Class 1. Wenn Sie diesem Link folgen, sehen Sie zwei unter­schied­liche For­mate die­ses Zer­ti­fik­ats zum Herunter­laden ange­boten. Dabei ist es egal, wel­ches davon Sie wäh­len, beide For­mate werden anstands­los vom der Zer­ti­fi­kats­ver­wal­tung Ihres E-Mail-Clients impor­tiert.

Installation des Root-Zertifikats

Nach­dem Sie das Root-Zer­ti­fi­kat herunter geladen haben, star­ten Sie Ihren E-Mail-Client. Wäh­len Sie Bear­beiten (unter Windows finden Sie dies sinn­voller Weise unter Extras) und dort Ein­stel­lun­gen. In dem dann erschei­nenden Fen­ster wählen Sie Erweitert, dann das Register Ver­schlüs­se­lung und dort die Schalt­fläche Zer­ti­fi­kate. Dann wäh­len Sie das Register Zer­ti­fi­zie­rungs­stel­len und impor­tie­ren das herunter gela­dene Zer­ti­fi­kat mit­tels der Schaltf­läche Impor­tieren.

Im neben­ste­hen­den Dia­log, der beim Import erscheint, soll­ten Sie ange­ben, für wel­che Zwecke Sie die­sem Zer­ti­fi­kat ver­trauen wo­llen. Außer­dem kön­nen Sie sich über die Schalt­fläche Ansicht die Details dieses Zer­ti­fi­kats anse­hen. (Wie Sie viel­leicht bemerkt haben, zeigt die Abbil­dung kein Zer­ti­fi­kat von TC Trustcenter son­dern ein eige­nes für die Fa. Dr. Harry Knitter EDV-Be­ratung erstell­tes Root-Zer­ti­fi­kat.) Impor­tie­ren Sie dann das Zer­ti­fi­kat, indem Sie auf die Schalt­fläche OK klicken.

Die­ses Zer­ti­fi­kat, das Sie soeben impor­tiert haben. dient dazu, Ihr noch zu instal­lie­ren­des Zer­ti­fi­kat und auch Zer­ti­fi­kate der glei­chen Kate­gorie ande­rer Per­so­nen in ihrer Echt­heit zu bestä­ti­gen.

Damit haben wir jetzt die Vor­be­rei­tun­gen getrof­fen, die nötig waren, um uns jetzt um Ihr eigent­li­ches Zer­ti­fi­kat zu küm­mern.

Export Ihres Zertifikats aus dem Browser

Nach­dem Sie Ihr Zer­ti­fi­kat von TC Trustcenter erhal­ten haben, liegt dies in Ihrem Browser, von dem aus wir es erst mal in den E-Mail-Client über­tra­gen müs­sen. Dazu gehen Sie im Mozilla Firefox zu Bear­bei­ten (unter Windows ist dies mal wie­der sin­niger Weise unter Extras zu finden) und dort zu Ein­stel­lun­gen, wo Sie unter Erwei­tert auf dem Register Ver­schlüs­se­lung die Schalt­fläche Zer­ti­fi­kate fin­den.

Im Dia­log Zer­ti­fi­ka­te wäh­len Sie das Register Eigene Zer­ti­fi­ka­te und dort die Schalt­fläche Sichern.

Es erscheint dann der Standard-speichern-unter-Dialog. Spei­chern Sie Ihr Zer­ti­fi­kat an einer für andere Per­so­nen unzu­gäng­liche Stelle ab. Dabei werden Sie zur Ver­gabe eines Backup-Pass­worts auf­ge­for­dert, das Sie bei der Wieder­her­stel­lung des Zer­ti­fi­kats benö­ti­gen wer­den. Die­ses Pass­wort hat nichts mit dem Passwort zu tun, das Sie bei der Erstel­lung Ihres Zer­ti­fi­kats bei TC Trustcenter ver­ge­ben haben. Soll­ten Sie hier ein ande­res Pass­wort ver­wen­den, so mer­ken Sie sich genau, wel­ches der Pass­wörter für was Ver­wen­dung fin­det!

Jetzt kön­nen Sie alle Dia­loge und auch Ihren Browser wie­der schließen.

Installation der Zertifikate in die Zertifikatsverwaltung

Um die Zertifikate auch anderen Anwendungen als nur Ihrem E-Mail-Client zur Verfügung zu stellen, werden wir diese in der zentralen Zertifikatsverwaltung des KDE installieren. Klicken Sie dazu auf das Hauptmenü links in der Kontrolleiste und wählen Sie Kontrollzentrum.

Im Kon­troll­zen­trum öff­nen Sie links den Menü­punkt Sicher­heit und Privat­sphäre und klicken auf Verschlüs­se­lung und dort auf das Register SSL-Unter­zeich­ner. Hier hinein impor­tie­ren Sie jetzt das Root-Zerti­fi­kat, das Sie bei TC Trustcenter herun­ter­ge­la­den haben. Soll­ten Sie die Schalt­fläche Impor­tie­ren nicht sehen, ver­wen­den Sie die untere hori­zon­tale Bild­lauf­leiste, um den Inhalt des Fen­sters zu ver­schie­ben.

Nach dem Import werden Sie gefragt, ob Sie die­ses Zerti­fi­kat für KMail ver­füg­bar machen wol­len, was Sie natür­lich mit Verfüg­bar machen beant­wor­ten.

Jetzt wird die Zerti­fikats­ver­wal­tung von KMail mit dem schönen Namen Kleopatra auf­ge­ru­fen, vor der zuerst noch ein Dia­log mit den Infor­ma­tio­nen zum Import erscheint, den Sie mit OK bestä­ti­gen kön­nen. Nun können Sie diese Zer­ti­fi­kats­ve­rwal­tung durch­su­chen bis Sie das impor­tierte Wurzel-Zer­ti­fi­kat von TC Trustcenter sehen kön­nen. (Wie Sie am neben­ste­hen­den Bild fest­stel­len kön­nen, habe ich hier ein eige­nes Wurzel-Zer­ti­fi­kat meiner eige­nen CA importiert). Schließen Sie Kleopatra und kehren Sie zum Kontroll­zentrum zurück.

Bevor Sie jetzt zum Import Ihres Zer­ti­fi­kats schrei­ten, das Sie aus dem Mozilla Firefox gesi­chert haben, soll­ten Sie erst mal auf die Schalt­fläche Anwenden klicken.

Wählen Sie das Register Ihre Zertifikate, klicken Sie auf die Schaltf­läche Impor­tie­ren und impor­tie­ren Sie das Zer­ti­fi­kat, das Sie aus dem Mozilla Firefox gesichert haben. Dann werden Sie zur Ein­gabe Ihres Zer­ti­fi­kats­pass­worts, hier ist das Backup-Pass­wort gemeint, das Sie beim Sichern aus dem Browser ver­ge­ben haben, auf­ge­for­dert und gefragt, ob Sie auch dieses Zer­ti­fi­kat für KMail ver­füg­bar machen wol­len. Danach erscheint wie­der Kleopatra und eine noch­malige Auf­for­de­rung das Zer­ti­fi­kats­pass­wort ein­zu­geben. Jetzt müs­sen Sie noch ein Pass­wort ver­geben, das Ihr Zer­ti­fi­kat in der Zer­ti­fi­kats­ver­wal­tung schützt, was mit einer noch­mali­gen Abfrage des sel­ben Pass­worts bestätigt wer­den muss.

Danach sehen Sie in Kleopatra auch Ihr persön­liches Zer­ti­fi­kat. Kleopatra kann jetzt geschlo­ssen wer­den. Klicken Sie nun im Kontroll­zentrum auf Anwenden

.

Sie können jetzt auch über­prüfen, ob alles geklappt hat, indem Sie auf die gleich­namige Schalt­fläche ganz rechts (evtl. mit der horizontalen Bildlaufleiste nach rechts scrollen) klicken. Hat die über­prüfung geklappt, kön­nen Sie das Kontroll­zentrum jetzt schließen.

KMail bzw. Kontact einrichten

Ich gehe hier­bei davon aus, dass Sie KMail bzw. Kontact bereits für das Sen­den und Empfan­gen von E-Mails ein­ge­rich­tet haben.

Star­ten Sie KMail bzw. Kontact. Klicken Sie auf Einstel­lun­gen und dann auf KMail ein­rich­ten. bei Identi­tät klicken Sie auf die Schalt­fläche ändern

Es erscheint ein Dia­log mit mehre­ren Registern. Wäh­len Sie Kryptografie und klicken Sie bei S/MIME-Ver­schlüs­se­lungs­zer­ti­fi­kat auf die Schalt­fläche ändern, worauf ein Aus­wahl­dia­log für das zu ver­wen­den­de Zer­ti­fi­kat erscheint. Wäh­len Sie Ihr Zer­ti­fi­kat aus und bestä­tigen Sie mit OK. Das Gleiche füh­ren Sie auch noch für S/MIME-Verschlüs­selungs­zer­ti­fi­kat durch.

Sie kön­nen jetzt die über­ge­ord­ne­ten Dia­loge schließen.

Die Praxis mit KMail

Nun ist Ihr E-Mail-Client ein­ge­richtet für das Ver­sen­den und Empfan­gen ver­schlüs­sel­ter und digi­tal sig­nier­ter Mails. Um eine Mail zu sig­nie­ren, klicken Sie im Fenster, in dem Sie Ihre Mail erstel­len, auf die Schaltf­läche mit dem Feder­halter. Um eine zu ver­schlüs­seln, klicken Sie auf die mit dem Schloss. Nachdem Sie auf die Schalt­fläche für das Ver­sen­den geklickt haben, wird bei sig­nier­ten Mails das Pass­wort abge­fragt, das Ihren pri­va­ten Schlüs­sel schützt, beim Verschlüs­seln wird Ihnen eine Aus­wahl von Zer­ti­fi­ka­ten des oder der Mail-Empfän­ger ange­boten.

• Startseite
• Dienstleistungen
• Tipps
  • Die verbreitetsten Irrtümer
  • Installation eines Linux-Client-Rechners
  • Linux-Grundlagen
  • E-Mail
  • Verschlüsselung und digitale Signatur
    • Grundlagen
    • Beispiele
      • Thunderbird GnuPG
      • Thunderbird S/MIME
      • KMail GnuPG
      • KMail S/MIME
  • Gefährdungen
  • Windows absichern
  • Sichere Passwörter
  • WLAN absichern
  • ältere Rechner weiter nutzen
  • Glossar
• Kontakt
• Browsercheck
• Wir über uns
• Publikationen
• Datenschutzerklärung

Impressum