Mozilla Thunderbird mit S/MIME

Inhaltsverzeichnis

Voraussetzungen

Auch hier set­zen wir voraus, dass Sie den Mozilla Thunderbird auf Ihrem Rechner instal­liert haben. Die weite­ren Vor­aus­setzun­gen hängen jetzt davon ab, mit welchem Betriebs­system Sie arbei­ten und wie Sie an Ihr Zer­ti­f­ikat gelan­gen.

Unter Linux haben Sie die Mög­lich­keit sich ent­weder mit­tels des Befehls openssl zu arbei­ten oder ein Soft­ware-Paket namens TinyCA zu instal­lieren, um sich eine eigene PKI auf­zu­bauen. Dazu müs­sen Sie sich zuerst ein Zer­ti­fi­kat für eine eigene Zer­ti­fi­zie­rungs-Authori­tät (CA) auf­bauen. Dann müs­sen Sie ein Benut­zer­zer­ti­fi­kat für Sie bzw. Ihre E-Mail-Adresse erstel­len, die­ses mit dem Zer­ti­fi­kat der CA sig­nie­ren und es dann expor­tie­ren. Aller­dings hat das Ver­fah­ren, eine eigene PKI auf­zu­bauen, den Nach­teil, dass das Zer­ti­fi­kat Ihrer CA nir­gends aner­kannt ist und Kom­muni­ka­tions­part­ner, die mit Ihnen ver­schlüs­selte und digi­tal sig­nierte E-Mails aus­tau­schen wol­len, nicht nur über Ihr Zer­ti­fi­kat son­dern auch über das Zer­ti­fi­kat Ihrer CA ver­fügen müs­sen. Den­noch macht so etwas Sinn, z. B., wenn eine Firma Ihre eigene PKI auf­baut.

Achtung!

Sollten Sie bisher noch keinerlei Erfahrung mit Verschlüsselung und digitaler Signatur haben, sollten Sie sich unbedingt die Grundlagen zu dieser Thematik auf unserer Website durchlesen, bevor Sie hier weiter machen.

Zertifikat besorgen

Wir wol­len hier aber von dem Szenario aus­gehen, dass Sie sich von einem aner­kann­ten Zer­ti­fi­zie­rungs­dienst­an­bie­ter ein Zer­ti­fi­kat besor­gen. Als Anlauf­stelle möchten wir Ihnen hier die Fa. TC Trustcenter nen­nen, die Privat­per­so­nen für die nicht ko­mmer­zielle Nut­zung kosten­lose Zer­ti­fi­kate mit einer Gültig­keit von einem Jahr anbie­tet.

Gehen Sie auf die Website von TC Trustcenter. Benut­zen Sie dazu den Browser Mozilla Firefox, da wir uns in der wei­te­ren Beschrei­bung auf die­sen beziehen. Soll­ten Sie einen ande­ren Browser ver­wenden, müs­sen Sie Ihr Zer­ti­fi­kat spä­ter aus diesem expor­tie­ren, um es in den E-Mail-Client bzw. des­sen Zer­ti­fi­kats­ver­wal­tung impor­tie­ren zu kön­nen. Ach­ten Sie auf jeden Fall bei der Erstel­lung des Zer­ti­fi­kats darauf, dass Sie für Ihren pri­va­ten Schlüs­sel ein siche­res Pass­wort ver­ge­ben, das auch eine aus­rei­chende Länge hat. Da die mit Ihrem pri­va­ten Schlüs­sel erzeug­ten digi­ta­len Sig­na­tu­ren auch Ihre Identi­tät bezeu­gen, muss ein star­kes Pass­wort gewählt wer­den. Schwa­che Pass­wörter bein­hal­ten die Gefahr, dass unbe­fugte Per­so­nen an Ihren pri­va­ten Schlüs­sel kommen und damit Ihre Identi­tät anneh­men kön­nen.

Auf der Website von TC Trustcenter wäh­len Sie Produket & Services aus der Menü­leiste am obe­ren Rand der Seite und dort TC Certificates. Sie lan­den auf einer Seite auf der Sie sofort TC Internet ID sehen. Dort klicken Sie auf mehr und erhal­ten dann genü­gend Infor­ma­tio­nen, um ein kosten­loses Zer­ti­fi­kat bean­tragen zu kön­nen. Da diese Infor­ma­tionen den gesam­ten Vor­gang aus­rei­chend genau erklä­ren, wird auf die Bean­tr­agung Ihres Zer­ti­fi­kats bei TC Trustcenter nicht weiter einge­gan­gen.

Eine Sache ist aber noch wichtig. Damit Sie mit Ihrem Zer­ti­fi­kat auch wirk­lich arbei­ten kön­nen: Wäh­rend die Zer­ti­fi­kate der Zer­ti­fi­kat­an­bie­ter für kom­mer­zielle Zer­ti­fi­kate in Ihren Browser in der Regel fest einge­baut sind, müs­sen Sie das Zer­ti­fi­kat, das die Echt­heit Ihres kosten­losen Zer­ti­fi­kats bestä­tigt, erst noch von TC Trustcenter herunter­laden.

Gehen Sie hierzu folgender­maßen vor: Gehen Sie auf die Website von TC Trustcenter und wäh­len Sie Service Center und dort Root-Zertifikate. Auf der Seite, die dann erscheint sehen Sie ganz oben 1.1 TC Class 1. Wenn Sie diesem Link folgen, sehen Sie zwei unter­schied­liche For­mate die­ses Zer­ti­fik­ats zum Herunter­laden ange­boten. Dabei ist es egal, wel­ches davon Sie wäh­len, beide For­mate werden anstands­los vom der Zer­ti­fi­kats­ver­wal­tung Ihres E-Mail-Clients impor­tiert.

Installation des Root-Zertifikats

Nach­dem Sie das Root-Zer­ti­fi­kat herunter geladen haben, star­ten Sie Ihren E-Mail-Client. Wäh­len Sie Bear­beiten (unter Windows finden Sie dies sinn­voller Weise unter Extras) und dort Ein­stel­lun­gen. In dem dann erschei­nenden Fen­ster wählen Sie Erweitert, dann das Register Ver­schlüs­se­lung und dort die Schalt­fläche Zer­ti­fi­kate. Dann wäh­len Sie das Register Zer­ti­fi­zie­rungs­stel­len und impor­tie­ren das herunter gela­dene Zer­ti­fi­kat mit­tels der Schaltf­läche Impor­tieren.

Root-Zertifikat vertrauen

Im neben­ste­hen­den Dia­log, der beim Import erscheint, soll­ten Sie ange­ben, für wel­che Zwecke Sie die­sem Zer­ti­fi­kat ver­trauen wo­llen. Außer­dem kön­nen Sie sich über die Schalt­fläche Ansicht die Details dieses Zer­ti­fi­kats anse­hen. (Wie Sie viel­leicht bemerkt haben, zeigt die Abbil­dung kein Zer­ti­fi­kat von TC Trustcenter son­dern ein eige­nes für die Fa. Dr. Harry Knitter EDV-Be­ratung erstell­tes Root-Zer­ti­fi­kat.) Impor­tie­ren Sie dann das Zer­ti­fi­kat, indem Sie auf die Schalt­fläche OK klicken.


Die­ses Zer­ti­fi­kat, das Sie soeben impor­tiert haben. dient dazu, Ihr noch zu instal­lie­ren­des Zer­ti­fi­kat und auch Zer­ti­fi­kate der glei­chen Kate­gorie ande­rer Per­so­nen in ihrer Echt­heit zu bestä­ti­gen.

Damit haben wir jetzt die Vor­be­rei­tun­gen getrof­fen, die nötig waren, um uns jetzt um Ihr eigent­li­ches Zer­ti­fi­kat zu küm­mern.

Export Ihres Zertifikats aus dem Browser

Nach­dem Sie Ihr Zer­ti­fi­kat von TC Trustcenter erhal­ten haben, liegt dies in Ihrem Browser, von dem aus wir es erst mal in den E-Mail-Client über­tra­gen müs­sen. Dazu gehen Sie im Mozilla Firefox zu Bear­bei­ten (unter Windows ist dies mal wie­der sin­niger Weise unter Extras zu finden) und dort zu Ein­stel­lun­gen, wo Sie unter Erwei­tert auf dem Register Ver­schlüs­se­lung die Schalt­fläche Zer­ti­fi­kate fin­den.

Zertifikat sichern

Im Dia­log Zer­ti­fi­ka­te wäh­len Sie das Register Eigene Zer­ti­fi­ka­te und dort die Schalt­fläche Sichern.


Es erscheint dann der Standard-speichern-unter-Dialog. Spei­chern Sie Ihr Zer­ti­fi­kat an einer für andere Per­so­nen unzu­gäng­liche Stelle ab. Dabei werden Sie zur Ver­gabe eines Backup-Pass­worts auf­ge­for­dert, das Sie bei der Wieder­her­stel­lung des Zer­ti­fi­kats benö­ti­gen wer­den. Die­ses Pass­wort hat nichts mit dem Passwort zu tun, das Sie bei der Erstel­lung Ihres Zer­ti­fi­kats bei TC Trustcenter ver­ge­ben haben. Soll­ten Sie hier ein ande­res Pass­wort ver­wen­den, so mer­ken Sie sich genau, wel­ches der Pass­wörter für was Ver­wen­dung fin­det!

Jetzt kön­nen Sie alle Dia­loge und auch Ihren Browser wie­der schließen.

Installation Ihres Zertifikats im Mozilla Thunderbird

Wech­seln Sie zu Ihrem E-Mail-Client und klicken Sie im Haupt­menü auf Bearbeiten (unter Windows wieder sin­niger Weise Extras) und dann auf Ein­stel­lung­en, dann auf Erwei­tert, dort auf das Register Zer­ti­fi­ka­te und dann auf die Schalt­fläche Zer­ti­fi­ka­te. Wäh­len Sie jetzt das Register Eige­ne Zer­ti­fi­ka­te. Hier kön­nen Sie nun Ihr Zer­ti­fi­kat impor­ti­eren, wobei Sie nach dem Backup-Pass­wort gefragt wer­den, das Sie beim Export aus dem Browser verge­ben haben und auch nach dem Pas­swort, das Ihren pri­va­ten Schlüs­sel schützt, also dem Pass­wort, das Sie bei der Erstel­lung des Zer­ti­fi­kats bei TC Trustcenter verge­ben haben. Schließen Sie den Dia­log Ein­stel­lun­gen.

Nun sind noch einige Ein­stel­lun­gen vor­zu­neh­men, damit der E-Mail-Client auch weiß, wel­ches Zer­ti­fi­kat zu ver­wen­den ist.

S/MIME Einstellungen

Wählen Sie S/MIME-Sicherheit und klicken Sie rechts neben dem obe­ren Ein­ga­be­feld auf die Schalt­fläche Aus­wählen und bestä­ti­gen Sie das ange­bo­tene Zer­ti­fi­kat mit OK. Danach erscheint ein wei­te­rer Dia­log, der Sie fragt, ob Sie die­ses Zer­ti­fi­kat auch zum Ver- und Ent­schlüs­seln ve­rwen­den wol­len. Bestä­ti­gen Sie die­sen Dia­log eben­falls mit OK. Akti­vie­ren Sie auch das Kon­troll­käst­chen Nach­rich­ten digi­tal unter­schrei­ben (als Stan­dard) und been­den Sie den Dia­log Kon­ten mit OK.


Jetzt ist Ihr Mozilla Thunderbird für die Ver­wen­dung von S/MIME vorbereitet, und Sie kön­nen mit ande­ren Kom­mu­ni­ka­tions­part­nern gesicherte und digi­tal sig­nierte Mails aus­taus­chen, vor­aus­ge­setzt, diese haben eben­falls das gleiche Root-Zertifikat von TC Trustcenter instal­liert.

Die Praxis mit Mozilla Thunderbird

Empfan­gen Sie eine sol­che digi­tal sig­nierte Mail, so wird das Zer­ti­fi­kat (besser gesagt der digital sig­nierte öffent­liche Schlüs­sel), des Absen­ders auto­ma­tisch in Ihrem Schlüs­sel­bund inte­griert. Sie sehen dies bei den Zer­ti­fi­ka­ten im Register Zer­ti­fi­kate ande­rer Per­so­nen.

Das Ver­sen­den von digi­tal sig­nier­ten Mails geht nun auto­matisch. Sie wer­den nur beim ersten Ver­sand zur Ein­gabe des Passw­orts auf­ge­for­dert, das Ihren pri­va­ten Schlüs­sel schützt. Für den Rest der Sit­zung merkt sich der E-Mail-Client die­ses Pass­wort, so dass Sie nicht jedes Mal wieder nach dem Pass­wort gefragt werden, wenn Sie erneut eine Mail ver­schicken, was natür­lich außer­or­dent­lich lästig wäre. Zum Ver­sand verschlüs­sel­ter E-Mails müs­sen Sie natür­lich im Besitz des Zer­ti­fi­kats (besser gesagt des digi­tal sig­nier­ten öffent­li­chen Schlüs­sels) des Empfän­gers sein. Die­sen erhal­ten Sie ent­weder auto­ma­tisch, wenn die­ser Ihnen eine digi­tal sig­nierte Mail zuschickt, oder Sie kön­nen auch auf dem Schlüs­sel­server von TC Trustcenter gezielt nach Zer­ti­fi­ka­ten ande­rer Per­so­nen suchen. Als Such­be­griff ver­wendet man im All­ge­mei­nen die E-Mail-Adresse der jewei­li­gen Per­son.

Ein kleiner Tipp zum Schluss: Speichern Sie vor­sichts­hal­ber alle Dateien, in denen Sie Ihr Zer­ti­fi­kat gesi­chert haben, auf einem exter­nen Daten­träger und löschen Sie diese von Ihrer Fest­platte.