1 Grundlagen
1.1 Ziele des Dokuments
Das Ziel dieses Dokuments ist es in einer Schritt-für-Schritt Anleitung zu zeigen, wie Zertifikate in Thunderbird installiert werden können, E-Mails signiert und verschlüsselt werden und wie, empfangene, signierte und verschlüsselte E-Mails gelesen werden.
1.2 Definitionen und Kurzbezeichnungen
S/MIME:
– Standard zur Signierung und Verschlüsselung von E-Mails.
– LDAP: Ist die Abkürzung für „Lightweight Directory Access Protocol“ und ermöglicht es über ein IP-Netzwerk (z.B. Internet) auf einen Verzeichnisdienst zugreifen zu können. Das Verzeichnis kann etwa, wie in dieser Anleitung, ein Adressbuch sein.
1.3 Änderungshistorie
1.3.1 V1.1 Stammfassung
Redaktionsschluss: 5. Juni 2015
1.3.2 V1.2 Ergänzung
Redaktionsschluss: 3. Juli 2019
2 Kurzfassung
Zertifikat installieren:
- Root Zertifikat von https://www.globaltrust.eu herunterladen
- Im Zertifikat-Manager von Thunderbird im Tab „Zertifizierungsstellen“ die crt-Datei importieren
- Im Tab „Ihre Zertifikate“ das persönliche Zertifikat importieren (→ 3.1.3 Zertifikat für Signieren installieren p7)
- In den Kontoeinstellungen unter der Kategorie „S/MIME Sicherheit“ das Zertifikat zum signieren auswählen.
→ Fertig
E-Mail signieren:
- Neue E-Mail verfassen
- In der Menüleiste „S/MIME“ auswählen und „Nachricht unterschreiben“ auswählen. Rechts unten im Eck erscheint ein Symbol eines versiegelten Kuverts
→ Fertig
E-Mail verschlüsseln:
- Zertifikat-Manager öffnen und im Tab „Personen“ das Zertifikat des Empfängers importieren
- Neue E-Mail verfassen und in der Menüleiste „S/MIME“ auswählen und „Nachricht verschlüsseln“ auswählen. Rechts unten im Eck erscheint ein Vorhängeschloss Symbol
→ Fertig
Signierte/Verschlüsselte E-Mails empfangen:
- E-Mail mit Doppelklick öffnen
- Rechts oben sind das versiegelte Kuvert und, wenn die Nachricht auch verschlüsselt wurde, das Vorhängeschloss zu sehen. Bei einem Klick auf eines der Symbole können die Details zum Unterzeichner und zum Zertifikat des Unterzeichners abgerufen werden
→ Fertig
Im Adressbuch im Menü „Datei“ im Unterpunkt „Neu“ das LDAP Verzeichnis wählen
Serverdaten, ohne Anführungszeichen, eintragen:
- Name: „GLOBALTRUST“
- Serveradresse: „ldap.globaltrust.eu“
- Basis-DN: „c=at“
- Port-Nummer: „389“
Im Adressbuch links „GLOBALTRUST“ auswählen und rechts oben Suchbegriff eingeben.
→ Fertig
3 Detail Dokumentation Zertifikatsverwaltung
3.1 Zertifikate installieren
3.1.1 GLOBALTRUST Root-CA Zertifikat importieren
Legende:
- URL http://www.globaltrust.eu/certificate-policy.html öffnen
- In den Abschnitten „GLOBALTRUST Root CA 2006“, „GLOBALTRUST Root CA 2015“ und „GLOBALTRUST Root CA 2020“ auf die Download-Links für „DER-Format“ klicken und die Datei speichern.
Direktlink der GLOBALTRUST Root-CA Zertifikate:
- http://www.globaltrust.eu/static/globaltrust2006-der.cer
- http://www.globaltrust.eu/static/globaltrust-2015-der.cer
- http://www.globaltrust.eu/static/globaltrust-2020-der.cer
3.1.2 Thunderbird Einstellungen öffnen
→ Extras → Einstellungen → Erweitert → Zertifikate → Zertifikate → Zertifizierungsstellen → Importieren
→ Öffnen
→ alle Zwecke markieren → OK
offene Fenster: → Zertifikats-Manger → Einstellungen schließen
Das GLOBALTRUST Root-CA Zertifikat ist installiert.
3.1.3 Zertifikat für Signieren installieren
3.1.3.1 Import Software-Zertifikate
Software-Zertifikate + Schlüssel können durch Import der PKCS#12-Datei genutzt werden.
→ Extras → Einstellungen → Erweitert → Zertifikate → Zertifikate → Ihre Zertifikate → Importieren → Verzeichnis auswählen (hier C:\temp) → Dateityp PKCS12-Dateien auswählen → geeignete PKCS#12-Datei auswählen (hier Dateiname: mein-software-zertifikat.p12) → Öffnen
→ Passworteingabe-Dialog → Passwort: Ihr vergebenes PKCS#12-Passwort → OK
Ihr Software-Zertifikat + Schlüssel sind installiert!
3.1.3.2 Import E-Token Zertifikat Safenet (vormals Aladdin)
Zertifikate auf externen Trägern (Smartcards, eToken) können über eine PKCS#11 Schnittstelle angesprochen/genutzt werden. Das Modul zu dieser PKCS#11-Schnittstelle muss in Thunderbird übernommen werden.
→ Extras → Einstellungen → Erweitert → Zertifikate → Kryptographie-Module → Laden
→ geeigneten Modulname vergeben, Empfehlung: Safenet eToken PKCS#11 Modul → Durchsuchen
→ C:\Windows\System32 → Datei eTPKCS11.dll auswählen → Öffnen
Safenet-E-Token ist für signieren / verschlüsseln vorbereitet!
3.2 Zertifikate für Signieren einrichten
→ Extras → Konten-Einstellungen
→ Benutzerkonto auswählen Beispiel: hanxxxx@xxxx.at → S/MIME-Sicherheit → Auswählen (Zertifikat für Unterschrieben) + Auswählen (Zertifikat für Verschlüsseln Hinweis! Hier muss das Empfängerzertifikat ausgewählt werden, nicht das eigene, da ansonsten der Empfänger die E-Mail nicht entschlüsseln kann!)
Optional: → Nachrichten digital unterschreiben auswählen, dann wird immer unterschrieben
3.2.1 Nachricht erstellen und signiert versenden
→ Verfassen
→ S/MIME → Nachricht unterschreiben
→ senden → es erfolgt die Aufforderung zur Eingabe des eToken-Passwortes (nur bei einem E-Token-Zertifikat), ansonsten wird nach dem Passwort des Software-Zertifikates gefragt
3.3 E-Mail verschlüsseln
3.3.1 Empfänger Zertifikat importieren
„Öffnen“ → OK → OK → fertig
3.3.2 Neue E-Mail verfassen + verschlüsseln
Im Hauptfenster links oben auf „Verfassen“ klicken
Hinweis I:
„Nachricht verschlüsseln“ ist nur möglich, wenn das Zertifikat der Empfänger-Mailadresse installiert ist (hier: test@testdomain.test).
Hinweis II:
Die Nachricht kann auch gleichzeitig signiert werden. Dafür müssen Schlüssel und Zertifikat des Absenders installiert sein.
Hinweis III:
Der Betreff der E-Mail wird nicht verschlüsselt!
3.4 Signierte/Verschlüsselte E-Mails empfangen
3.4.1 Empfangene E-Mail öffnen
– Nach Doppelklick auf die empfangene E-Mail sind, im Falle der Signierung und Verschlüsselung, die entsprechenden Symbole (Kuvert mit Siegel und Vorhängeschloss) im rechten oberen Eck der E-Mail zu sehen.
3.4.2 Signatur prüfen
- Mit einem Klick auf die Symbole werden die Details zur Signierung und Verschlüsselung geöffnet. Mit einem Klick auf „Unterschriftszertifikat ansehen“ können die Details zum Zertifikat selber geöffnet werden.
- Mit „OK“ kann das Fenster geschlossen werden.
3.4.3 Zertifikat Details anzeigen
Legende:
Nach Prüfung des Zertifikates kann das Fenster mit „Schließen“ wieder geschlossen werden. → Fertig
4 Mozilla Thunderbird LDAP Adressbuch
GLOBALTRUST stellt seinen Kunden ein LDAP Verzeichnis zur Verfügung. In diesem Verzeichnis sind alle von GLOBALTRUST ausgestellten Zertifikate zu finden. Somit ist es möglich an alle Personen mit einem GLOBALTRUST Zertifikat verschlüsselte E-Mails zu schicken. Es ist außerdem möglich dieses Verzeichnis in das Adressbuch von Mozilla Thunderbird zu integrieren.
4.1 Detaildokumentation LDAP
4.1.1 Adressbuch öffnen
– Im Hauptfenster auf „Adressbuch“ klicken
|
– Im Adressbuch unter „Datei“ und „Neu“ auf „LDAP-Verzeichnis…“ klicken.
4.1.2 Serverdaten eingeben
Legende:
- Im neu erschienen Fenster die Informationen für das Verzeichnis eingeben.
- Name: „GLOBALTRUST“
- Serveradresse: „ldap.globaltrust.eu“
- Basis-DN: „c=at“
- Port-Nummer: „389“
- Wenn alle Daten eingegeben wurden auf „OK“ klicken.
4.1.3 Nach Einträgen suchen
- Auf der linken Seite das entsprechende Adressbuch auswählen. Hier: „GLOBALTRUST“
- Rechts oben den gesuchten Namen/ die gesuchte E-Mail Adresse eingeben. In der Ergebnisliste den gewünschten Eintrag auswählen. → Fertig
Redaktionsschluss: 3. Juli 2019
V1.2 [text.02689zym / web_archiv.02816cxu] 1/22