Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
thundercert [2011/02/10 10:23] – [Der OCSP-Server] bushthundercert [2018/02/08 13:52] – Link zur Zertifizierungsstelle aktualisiert hw1006
Zeile 1: Zeile 1:
 ====== Thunderbird - Mails digital unterschreiben ====== ====== Thunderbird - Mails digital unterschreiben ======
  
-Auf dieser Seite zeigen wir Ihnen, wie man in Mozilla Thunderbird Version 3 seine E-Mails mit Hilfe eines **[[usercert|persönlichen Zertifikates]]** (der **[[http://portal.uni-freiburg.de/rz/services/sicherheit/zertifikate|Zertifizierungsstelle der Universität Freiburg]]**) digital unterschreibt.+Auf dieser Seite zeigen wir Ihnen, wie man in Mozilla Thunderbird Version 3 seine E-Mails mit Hilfe eines **[[usercert|persönlichen Zertifikates]]** (der **[[https://www.rz.uni-freiburg.de/services/sicherheit/zertifizierung|Zertifizierungsstelle der Universität Freiburg]]**) digital unterschreibt.
  
  
Zeile 51: Zeile 51:
 ===== Sperrlisten konfigurieren ===== ===== Sperrlisten konfigurieren =====
  
-Wenn ein Zertifikat für ungültig erklärt wird, weil z.B. durch eine Neuinstallation der private Schlüssel verloren gegangen ist, wird der **[[http://portal.uni-freiburg.de/rz/services/sicherheit/zertifikate#sperren_eines_zertifikates|Rückruf]]** von der Zertifizierungsstelle in einer Sperrliste veröffentlicht. Leider werden solche Listen von vielen Zertifikate-Nutzern sehr stiefmütterlich behandelt. Deshalb möchten wir hier etwas genauer darauf eingehen.+Lesen Sie dazu die gesonderte Beschreibung in
  
-Die Zertifikate sind in der Lage, die Quelle für die Rückrufliste der eigenen Zertifizierungsstelle mit zu liefern (im vorliegenden Beispiel **g_cacrl.crl**):+**[[thundercrt|Thunderbird - Zertifikats-Sperrlisten]]**
  
-{{:bilder-thunderbird3:certcrl1.png|}}+\\
  
-Um die Sperrliste zu importieren, rufen Sie die **[[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=3&RA_ID=0ticPage;name=index;id=3&RA_ID=0|Sperrlistenseite]]** der Uni-FR CA auf.+===== Mail senden =====
  
-{{:bilder-thunderbird3:zertifizieren:importcrl.png|}}+Wenn Sie die oben beschriebenen Einstellungen nun in der Praxis nutzen wollen, achten Sie beim ersten Aufruf des Mail-Editors einmal auf die Option **S/MIME**. Im nachfolgenden Bild sehen Sie ein Beispiel.
  
-Klicken Sie dann mit der linken Maustaste auf den Menüpunkt **Zertifikatsperrliste installieren**.+{{:bilder-thunderbird3:zertifizieren:editor.png|}}
  
-Es erscheint folgendes Fenster:+Sie können die Standardeinstellung (Unterschreibenja, Verschlüsseln: nein) erkennen. Durch Anklicken der entsprechenden Optionen ist das Verhalten des Programmes leicht änderbar, z.B. in die Verschlüsselung der aktuellen Mail, sofern Sie über das Zertifikat der Gegenstelle verfügen.
  
-{{:bilder-thunderbird3:zertifizieren:crlimportok.png|}}+Sobald Sie eine Zieladresse eingegeben haben, ist auch das Fenster mit den Sicherheitsinformationen mit den aktuellen Einstellungen versehen.
  
-Klicken Sie auf jeden Fall auf die Schaltfläche Ja, damit Sie die Gelegenheit bekommen, das automatische Verfahren zum regelmäßigen Import der Sperrliste zu konfigurierenDas geschieht dann im nachfolgenden Fenster. Wählen Sie die Optionen wie vorgeschlagen: +Geben Sie die nötigen Texte ein und verschicken Sie die Mail
- +Im angegebenen Beispiel geht die Mail an den Absender zurück.
-{{:bilder-thunderbird3:zertifizieren:crlimportconfig.png|}} +
- +
-Das von der Sperrliste selbst festgelegte und meist recht großzügig bemessene Update-Intervall kann man durchaus kürzer einstellen. +
- +
-Auf diese Weise kann man von diversen Zertifizierungsstellen die Sperrlisten importieren und das Update-Verhalten festlegen. +
- +
-Sie finden die Liste der importierten Sperrlisten in den Thunderbird-Einstellungen: +
- +
-{{:bilder-thunderbird3:zertifizieren:listofcrls.png|}} +
- +
-Dort können Sie auch nachträglich die Update-Einstellungen verändern.+
  
 \\ \\
  
-==== Der OCSP-Server ====+===== Mail empfangen =====
  
-Von vielen Zertifizierungsstellen wird neben den Rückruflisten auch ein Server bereit gestellt, bei dem die Client-Programme (wie z.B. Thunderbird) beim Eintreffen eines Zertifikates unmittelbar nachfragen können, ob das Zertifikat z.Zt. noch (oder schon) gültig ist. Das geschieht über ein spezielles Protokoll mit dem Namen **OCSP (Online Certificate Status Protocol)**. Die Uni-FR CA kann __persönliche__ und __Webserver-Zertifikate__ mit der Option OCSP ausliefern. Man muss allerdings dabei berücksichtigendas eventuell vorhandene Firewalls die OCSP-Kommunikation verhindern könnten und deshalb dafür freigeschaltet werden müssen.+Sobald die Mail eingetroffen ist, schauen Sie sich den Inhalt an.
  
-Auch die Adresse des OCSP-Servers wird von einem OCSP-fähigen Zertifikat mitgeliefert:+Es fällt auf, dass bei den unterschriebenen Mails, im Header-Bereich ein versiegelter Briefumschlag angezeigt wird.
  
-{{:bilder-thunderbird3:zertifizieren:certcrl2.png|}}+{{:bilder-thunderbird3:zertifizieren:signedmail.png|}}
  
-Um die Verwendung des OCSP-Protokolles müssen Sie sich nicht bemühen; Thunderbird setzt es wenn möglich selbständig ein.+Wenn Sie das Symbol anklicken, erscheint ein Fenster mit grundlegenden Aussagen über den Sicherheitsstatus dieser Mail und es besteht die Möglichkeit, sich die Details des mitgelieferten Zertifikates anzusehen.
  
-\\+{{:bilder-thunderbird3:zertifizieren:showreceivedcert.png|}}
  
-===== Mail senden =====+Bei einer unterschriebenen und verschlüsselten Mail wird zusätzlich ein Vorhängeschloss angezeigt.
  
-:!**Hier wird weiter gebaut!** :!:+{{:bilder-thunderbird3:zertifizieren:signedencrypted.png|}}
  
-\\+Im vorliegenden Beispiel wurde die eigene Mail empfangen.
  
-==== Standard: Mail unterschreiben ====+Erhalten Sie von einer fremden Person eine unterschriebene Mail, importiert Thunderbird selbsttätig das Zertifikat mit dem öffentlichen Schlüssel in den Zertifikatsspeicher **Personen** und Sie können bei Bedarf sofort mit einer verschlüsselten Mail antworten.
  
 \\ \\
- 
-==== Ausnahme: Mail nicht unterschreiben ==== 
- 
- 
 \\ \\
- 
-===== Mail empfangen ===== 
- 
- 
-\\ 
- 
-==== Mail mit gültiger Unterschrift ==== 
- 
- 
-\\ 
- 
-==== Mail mit ungültiger Unterschrift ==== 
  
  
 +{{tag>zertifikate sicherheit software}}

Zuletzt angesehen: Zentrale Videoplattform

QR-Code
QR-Code thundercert (erstellt für aktuelle Seite)