1 Grundlagen

1.1 Ziele des Dokuments

Das Ziel dieses Dokuments ist es in einer Schritt-für-Schritt-Anleitung zu zeigen, wie Zertifikate in Thunderbird installiert werden können, E-Mails signiert und verschlüsselt werden und wie, empfangene, signierte und verschlüsselte E-Mails gelesen werden.

1.2 Definitionen und Kurzbezeichnungen

S/MIME: 

• Standard zur Signierung und Verschlüsselung von E-Mails

– LDAP:

• Abkürzung für „Lightweight Directory Access Protocol“ und ermöglicht es über ein IP-Netzwerk (z. B. Internet) auf einen Verzeichnisdienst zugreifen zu können. Das Verzeichnis kann etwa, wie in dieser Anleitung, ein Adressbuch sein.

2 Kurzfassung

Zertifikat installieren:

• Root Zertifikat von https://www.globaltrust.eu herunterladen
• Im Zertifikat-Manager von Thunderbird im Tab „Zertifizierungsstellen“ die crt-Datei importieren
• Im Tab „Ihre Zertifikate“ das persönliche Zertifikat importieren (→ 3.1.3 Zertifikat für Signieren installieren p7)
• In den Kontoeinstellungen unter der Kategorie „S/MIME Sicherheit“ das Zertifikat zum signieren auswählen.

→ Fertig

E-Mail signieren:

• Neue E-Mail verfassen
• In der Menüleiste „S/MIME“ auswählen und „Nachricht unterschreiben“ auswählen. Rechts unten im Eck erscheint ein Symbol eines versiegelten Kuverts.

→ Fertig

E-Mail verschlüsseln:

• Zertifikat-Manager öffnen und im Tab „Personen“ das Zertifikat des Empfängers importieren
• Neue E-Mail verfassen und in der Menüleiste „S/MIME“ auswählen und „Nachricht verschlüsseln“ auswählen. Rechts unten im Eck erscheint ein Vorhängeschloss-Symbol.

→ Fertig

Signierte/Verschlüsselte E-Mails empfangen:

• E-Mail mit Doppelklick öffnen
• Rechts oben sind das versiegelte Kuvert und, wenn die Nachricht auch verschlüsselt wurde, das Vorhängeschloss zu sehen. Bei einem Klick auf eines der Symbole können die Details zum Unterzeichner und zum Zertifikat des Unterzeichners abgerufen werden.

→ Fertig

Kurzfassung LDAP-Installation

Im Adressbuch im Menü „Datei“ im Unterpunkt „Neu“ das LDAP Verzeichnis wählen

Serverdaten, ohne Anführungszeichen, eintragen:

• Name: „GLOBALTRUST“
• Serveradresse: „ldap.globaltrust.eu“
• Basis-DN: „c=at“
• Port-Nummer: „389“

Im Adressbuch links „GLOBALTRUST“ auswählen und rechts oben Suchbegriff eingeben.

→ Fertig

3 Detaildokumentation Zertifikatsverwaltung

3.1 Zertifikate installieren

Beschaffen geeigneter Zertifikate

• Bestellung GLOBALTRUST CLIENT: https://order.globaltrust.eu/php/formservice.php?form=order_signature&st=CLI
• Information GLOBALTRUST COMPANY: https://globaltrust.eu/produkte/company/
• Hinweis: bei S/MIME-Verschlüsselung benötigen beide Kommunikationspartner einen geeigneten Schlüssel/Zertifikat!

3.1.1 GLOBALTRUST Root-CA Zertifikat importieren

 

Legende:

• URL http://www.globaltrust.eu/certificate-policy.html öffnen
• In den Abschnitten „GLOBALTRUST Root CA 2006“, „GLOBALTRUST Root CA 2015“ und „GLOBALTRUST Root CA 2020“ auf die Download-Links für „DER-Format“ klicken und die Datei speichern.

Direktlink der GLOBALTRUST Root-CA Zertifikate:

• http://www.globaltrust.eu/static/globaltrust2006-der.cer
• http://www.globaltrust.eu/static/globaltrust-2015-der.cer
• http://www.globaltrust.eu/static/globaltrust-2020-der.cer

3.1.2 Thunderbird Einstellungen öffnen

→ Extras → Einstellungen → Erweitert → Zertifikate  → Zertifikate → Zertifizierungsstellen → Importieren

→ Öffnen

→ alle Zwecke markieren → OK

offene Fenster: → Zertifikats-Manger → Einstellungen schließen

Das GLOBALTRUST Root-CA Zertifikat ist installiert.

3.1.3 Zertifikat für Signieren installieren

3.1.3.1 Import Software-Zertifikate

Software-Zertifikate + Schlüssel können durch Import der PKCS#12-Datei genutzt werden.

→ Extras → Einstellungen → Erweitert  → Zertifikate  → Zertifikate → Ihre Zertifikate → Importieren → Verzeichnis auswählen (hier C:\temp) → Dateityp PKCS12-Dateien auswählen → geeignete PKCS#12-Datei auswählen (hier Dateiname: mein-software-zertifikat.p12) → Öffnen

→ Passworteingabe-Dialog → Passwort: Ihr vergebenes PKCS#12-Passwort → OK

Ihr Software-Zertifikat + Schlüssel sind installiert!

3.1.3.2 Import E-Token Zertifikat Safenet (vormals Aladdin)

Zertifikate auf externen Trägern (Smartcards, eToken) können über eine PKCS#11 Schnittstelle angesprochen/genutzt werden. Das Modul zu dieser PKCS#11-Schnittstelle muss in Thunderbird übernommen werden.

→ Extras → Einstellungen → Erweitert → Zertifikate → Kryptographie-Module → Laden

→ geeigneten Modulname vergeben, Empfehlung: Safenet eToken PKCS#11 Modul → Durchsuchen

→ C:\Windows\System32 → Datei eTPKCS11.dll auswählen → Öffnen

Safenet-E-Token ist für signieren / verschlüsseln vorbereitet!

3.2 Zertifikate zum Signieren einrichten

→ Extras → Konten-Einstellungen

→ Benutzerkonto auswählen Beispiel: hanxxxx@xxxx.at → S/MIME-Sicherheit → Auswählen (Zertifikat zum unterschreiben) + Auswählen (Zertifikat für Verschlüsseln Hinweis! Hier muss das Empfängerzertifikat ausgewählt werden, nicht das eigene, da ansonsten der Empfänger die E-Mail nicht entschlüsseln kann!)

Optional: → Nachrichten digital unterschreiben auswählen, dann wird immer unterschrieben

3.2.1 Nachricht erstellen und signiert versenden

→ Verfassen

→ S/MIME → Nachricht unterschreiben

→ senden → es erfolgt die Aufforderung zur Eingabe des eToken-Passworts (nur bei einem E-Token-Zertifikat), ansonsten wird nach dem Passwort des Software-Zertifikates gefragt

 

 

3.3 E-Mail verschlüsseln

3.3.1 Empfänger Zertifikat importieren

 

„Öffnen“ → OK → OK → fertig

3.3.2 Neue E-Mail verfassen + verschlüsseln

Im Hauptfenster links oben auf „Verfassen“ klicken

Hinweis I:

„Nachricht verschlüsseln“ ist nur möglich, wenn das Zertifikat der Empfänger-Mailadresse installiert ist (hier: test@testdomain.test).

 

Hinweis II:

Die Nachricht kann auch gleichzeitig signiert werden. Dafür müssen Schlüssel und Zertifikat des Absenders installiert sein.

 

Hinweis III:

Der Betreff der E-Mail wird nicht verschlüsselt!

3.4 Signierte/Verschlüsselte E-Mails empfangen

3.4.1 Empfangene E-Mail öffnen

 

– Nach Doppelklick auf die empfangene E-Mail sind, im Falle der Signierung und Verschlüsselung, die entsprechenden Symbole (Kuvert mit Siegel und Vorhängeschloss) im rechten oberen Eck der E-Mail zu sehen.

3.4.2 Signatur prüfen

• Mit einem Klick auf die Symbole werden die Details zur Signierung und Verschlüsselung geöffnet. Mit einem Klick auf „Unterschriftszertifikat ansehen“ können die Details zum Zertifikat selber geöffnet werden.
• Mit „OK“ kann das Fenster geschlossen werden.

3.4.3 Zertifikat Details anzeigen

Legende:

Nach Prüfung des Zertifikates kann das Fenster mit „Schließen“ wieder geschlossen werden. → Fertig

4 Mozilla Thunderbird LDAP Adressbuch

GLOBALTRUST stellt seinen Kunden ein LDAP Verzeichnis zur Verfügung. In diesem Verzeichnis sind alle von GLOBALTRUST ausgestellten Zertifikate zu finden. Somit ist es möglich an alle Personen mit einem GLOBALTRUST Zertifikat verschlüsselte E-Mails zu schicken. Es ist außerdem möglich, dieses Verzeichnis in das Adressbuch von Mozilla Thunderbird zu integrieren.

4.1 Detaildokumentation LDAP

4.1.1 Adressbuch öffnen

– Im Hauptfenster auf „Adressbuch“ klicken.

 

– Im Adressbuch unter „Datei“ und „Neu“ auf „LDAP-Verzeichnis…“ klicken.

4.1.2 Serverdaten eingeben

Legende:

• Im neu erschienen Fenster die Informationen für das Verzeichnis eingeben.
• Name: „GLOBALTRUST“
• Serveradresse: „ldap.globaltrust.eu“
• Basis-DN: „c=at“
• Port-Nummer: „389“
• Wenn alle Daten eingegeben wurden, auf „OK“ klicken.

 

4.1.3 Nach Einträgen suchen

•  Auf der linken Seite das entsprechende Adressbuch auswählen. Hier: „GLOBALTRUST“
• Rechts oben den gesuchten Namen/ die gesuchte E-Mail-Adresse eingeben. In der Ergebnisliste den gewünschten Eintrag auswählen. → Fertig