Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
thundercert [2011/02/10 12:05] bushthundercert [2023/01/13 12:42] (aktuell) – gelöscht nw75
Zeile 1: Zeile 1:
-====== Thunderbird - Mails digital unterschreiben ====== 
- 
-Auf dieser Seite zeigen wir Ihnen, wie man in Mozilla Thunderbird Version 3 seine E-Mails mit Hilfe eines **[[usercert|persönlichen Zertifikates]]** (der **[[http://portal.uni-freiburg.de/rz/services/sicherheit/zertifikate|Zertifizierungsstelle der Universität Freiburg]]**) digital unterschreibt. 
- 
- 
-Wenn Sie fragen, was eine digitale Unterschrift denn eigentlich leistet, kann man als Antwort zwei Punkte anführen: 
-  - Sie leistet den Nachweis der Herkunft: Dass das unterschriebene Dokument tatsächlich von der angegebenen Person stammt. 
-  - Sie leistet den Nachweis der Unversehrtheit: Dass das unterschriebene Dokument unterwegs nicht verändert wurde. 
-Beides natürlich nur unter der Voraussetzung, dass das Zertifikat nicht in die falschen Hände gefallen ist. 
- 
-\\ 
- 
-===== Zertifikatsspeicher prüfen ===== 
- 
-Kontrollieren Sie zunächst das gespeicherte Zertifikat: 
- 
-Über das Hauptmenü, Punkt **Extras** rufen Sie die **Einstellungen** auf, suchen dort die Kategorie **Erweitert**, wählen die **Zertifikate**-Seite und klicken dann auf **Zertifikate**. 
- 
-{{:bilder-thunderbird3:zertifizieren:certmanager.png|}} 
- 
-Es müsste jetzt mindestens ein Zertifikat aufgeführt sein - Ihr persönliches - das vom Zertifikate-Manager als vertrauenswürdig eingestuft wird. Durch einen Doppelklick können Sie sich den Inhalt anzeigen lassen. 
- 
-{{:bilder-thunderbird3:zertifizieren:certallgemein.png|}} 
- 
-In den **Details** finden Sie u.a. die sog. Vertrauenskette (**Zertifikatshierarchie**) von Ihrem eigenen Zertifikat bis hoch zum Wurzelzertifikat der Deutschen Telekom. 
- 
-{{:bilder-thunderbird3:zertifizieren:certdetails.png|}} 
- 
-Nachdem Sie sich vergewissert haben, dass das Zertifikat vorliegt, schließen Sie die Fenster wieder. 
- 
-\\ 
- 
-===== Unterschriftenzertifikat festlegen ===== 
- 
-Nun müssen Sie dem Programm beibringen, dass und mit welchem Zertifikat es die Mails unterschreiben soll. 
- 
-Dazu wählen Sie im Hauptmenü wieder die **Extras**, diesmal mit den **Konten-Einstellungen**. 
- 
-<note tip>Die folgende Voreinstellung muss übrigens für jedes Mailkonto einzeln vorgenommen werden, da die persönlichen Zertifikate ja immer für ein individuelles Mailkonto herausgegeben werden.</note> 
- 
-{{:bilder-thunderbird3:zertifizieren:smimesecurity.png|}} 
- 
-In den Konten-Einstellungen öffnen Sie die Kategorie **S/MIME-Sicherheit** und lassen sich mit Hilfe der Schaltfläche **Auswählen** die verfügbaren Zertifikate anzeigen. Wählen Sie das passende Zertifikat aus (falls überhaupt mehrere angeboten werden) - **die Mailadresse muss mit der des Kontos übereinstimmen** - und bestätigen Sie, dass Sie ggf. mit diesem Zertifikat auch ver- und entschlüsseln wollen. 
- 
-Zusätzlich setzen Sie einen  Haken bei **Nachrichten digital unterschreiben (als Standard)**, wenn die Unterschrift grundsätzlich unter jede Mail gesetzt werden soll, die von diesem Konto verschickt wird. Die hier getroffene Entscheidung kann vor dem Versenden jeder Mail grundsätzlich revidiert werden, allerdings nur für einen Sende-Vorgang. Deshalb die Anmerkung „als Standard“.  
- 
-Üblicherweise wählt man bei der **Standard-Verschlüsselung** die Option **Nie**, da üblicherweise nur in Einzelfällen eine Mail verschlüsselt verschickt wird. 
- 
-\\ 
- 
-===== Sperrlisten konfigurieren ===== 
- 
-Wenn ein Zertifikat für ungültig erklärt wird, weil z.B. durch eine Neuinstallation der private Schlüssel verloren gegangen ist, wird der **[[http://portal.uni-freiburg.de/rz/services/sicherheit/zertifikate#sperren_eines_zertifikates|Rückruf]]** von der Zertifizierungsstelle in einer Sperrliste veröffentlicht. Leider werden solche Listen von vielen Zertifikate-Nutzern sehr stiefmütterlich behandelt. Deshalb möchten wir hier etwas genauer darauf eingehen. 
- 
-Die Zertifikate sind in der Lage, die Quelle für die Rückrufliste der eigenen Zertifizierungsstelle mit zu liefern (im vorliegenden Beispiel **g_cacrl.crl**): 
- 
-{{:bilder-thunderbird3:certcrl1.png|}} 
- 
-Um die Sperrliste zu importieren, rufen Sie die **[[https://pki.pca.dfn.de/uni-freiburg-ca/cgi-bin/pub/pki?cmd=getStaticPage;name=index;id=3&RA_ID=0ticPage;name=index;id=3&RA_ID=0|Sperrlistenseite]]** der Uni-FR CA auf. 
- 
-{{:bilder-thunderbird3:zertifizieren:importcrl.png|}} 
- 
-Klicken Sie dann mit der linken Maustaste auf den Menüpunkt **Zertifikatsperrliste installieren**. 
- 
-Es erscheint folgendes Fenster: 
- 
-{{:bilder-thunderbird3:zertifizieren:crlimportok.png|}} 
- 
-Klicken Sie auf jeden Fall auf die Schaltfläche Ja, damit Sie die Gelegenheit bekommen, das automatische Verfahren zum regelmäßigen Import der Sperrliste zu konfigurieren. Das geschieht dann im nachfolgenden Fenster. Wählen Sie die Optionen wie vorgeschlagen: 
- 
-{{:bilder-thunderbird3:zertifizieren:crlimportconfig.png|}} 
- 
-Das von der Sperrliste selbst festgelegte und meist recht großzügig bemessene Update-Intervall kann man durchaus kürzer einstellen. 
- 
-Auf diese Weise kann man von diversen Zertifizierungsstellen die Sperrlisten importieren und das Update-Verhalten festlegen. 
- 
-Sie finden die Liste der importierten Sperrlisten in den Thunderbird-Einstellungen: 
- 
-{{:bilder-thunderbird3:zertifizieren:listofcrls.png|}} 
- 
-Dort können Sie auch nachträglich die Update-Einstellungen verändern. 
- 
-\\ 
- 
-==== Der OCSP-Server ==== 
- 
-Von vielen Zertifizierungsstellen wird neben den Rückruflisten auch ein Server bereit gestellt, bei dem die Client-Programme (wie z.B. Thunderbird) beim Eintreffen eines Zertifikates unmittelbar nachfragen können, ob das Zertifikat z.Zt. noch (oder schon) gültig ist. Das geschieht über ein spezielles Protokoll mit dem Namen **OCSP (Online Certificate Status Protocol)**. Die Uni-FR CA kann __persönliche__ und __Webserver-Zertifikate__ mit der Option OCSP ausliefern. Man muss allerdings dabei berücksichtigen, das eventuell vorhandene Firewalls die OCSP-Kommunikation verhindern könnten und deshalb dafür freigeschaltet werden müssen. 
- 
-Auch die Adresse des OCSP-Servers wird von einem OCSP-fähigen Zertifikat mitgeliefert: 
- 
-{{:bilder-thunderbird3:zertifizieren:certcrl2.png|}} 
- 
-Um die Verwendung des OCSP-Protokolles müssen Sie sich nicht bemühen; Thunderbird setzt es wenn möglich selbständig ein. 
- 
-\\ 
- 
-===== Mail senden ===== 
- 
-Wenn Sie die oben beschriebenen Einstellungen nun in der Praxis nutzen wollen, achten Sie beim ersten Aufruf des Mail-Editors einmal auf die Option **S/MIME**. Im nachfolgenden Bild sehen Sie ein Beispiel. 
- 
-{{:bilder-thunderbird3:zertifizieren:editor.png|}} 
- 
-Sie können die Standardeinstellung (Unterschreiben: ja, Verschlüsseln: nein) erkennen. Durch Anklicken der entsprechenden Optionen ist das Verhalten des Programmes leicht änderbar, z.B. in die Verschlüsselung der aktuellen Mail, sofern Sie über das Zertifikat der Gegenstelle verfügen. 
- 
-Sobald Sie eine Zieladresse eingegeben haben, ist auch das Fenster mit den Sicherheitsinformationen mit den aktuellen Einstellungen versehen. 
- 
-Geben Sie die nötigen Texte ein und verschicken Sie die Mail. 
-Im angegebenen Beispiel geht die Mail an den Absender. 
- 
-\\ 
- 
-===== Mail empfangen ===== 
- 
- 
-\\ 
- 
-==== Mail mit gültiger Unterschrift ==== 
- 
- 
-\\ 
- 
-==== Mail mit ungültiger Unterschrift ==== 
- 
-:!: **Hier wird weiter gebaut!** :!: 
- 
-\\ 
-\\ 
- 
  

Zuletzt angesehen:

QR-Code
QR-Code thundercert (erstellt für aktuelle Seite)