S/MIME mit Thunderbird und eigener CA: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(16 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Ziel ==
+
=Ziel=
 
+
* Zertifikat für '''martha@it2XX.int''' mit der eigenen Intermediate CA signieren
* Zertifikat für '''thomas@it113.int''' von zentraler CA signieren lassen
 
 
* Private Schlüssel und CSR lokal erzeugen
 
* Private Schlüssel und CSR lokal erzeugen
* Keine lokale Signierung
+
* Signierung durch die eigene CA
 
 
== Erzeugung von Key und CSR ==
 
  
*openssl req -new -newkey rsa:4096 -nodes -keyout thomas.key -out thomas.csr -subj "/CN=Thomas Will/emailAddress=thomas@it113.int"
+
=Was ist S/MIME?=
 +
{| class="wikitable"
 +
! Funktion !! Bedeutung
 +
|-
 +
| '''Signieren''' || Empfänger kann prüfen ob die Mail wirklich von dir kommt
 +
|-
 +
| '''Verschlüsseln''' || Nur der Empfänger kann die Mail lesen
 +
|-
 +
| '''Voraussetzung''' || Beide Seiten brauchen ein S/MIME-Zertifikat
 +
|}
  
== Übergabe an die zentrale CA ==
+
!!!'''Wichtig'''!!! Zum Verschlüsseln braucht man den '''öffentlichen Schlüssel des Empfängers''' – am einfachsten vorher eine signierte Mail austauschen.
  
; Datei '''thomas.csr''' an CA übermitteln (z. B. per Webformular oder Mail)
+
=Erzeugung von Key und CSR=
 +
;Private Key und CSR lokal erzeugen
 +
* export MAIL=martha@it2XX.int
 +
* export CA=intermediate
 +
* openssl req -new -newkey rsa:4096 -nodes -keyout $MAIL.key -out $MAIL.csr -subj "/CN=$MAIL/emailAddress=$MAIL"
  
;CA erstellt daraus ein S/MIME-Zertifikat, z. B. '''thomas.crt'''
+
=Signierung durch die Intermediate CA=
 +
;Zertifikat mit der Intermediate CA signieren – E-Mail-Adresse im SAN
 +
* openssl x509 -req -in $MAIL.csr -CA $CA.crt -CAkey $CA.key -CAcreateserial -out $MAIL.crt -days 365 -extfile <(printf "subjectAltName=email:$MAIL")
  
== Empfang des Zertifikats ==
+
;Prüfen
 +
* openssl x509 -in $MAIL.crt -text -noout | grep -A2 "Subject Alternative"
  
;Wenn CA-Zertifikat empfangen:
+
=Erzeugung der PKCS#12-Datei für Thunderbird=
 +
;Zertifikat, Key und CA-Chain in eine Datei packen
 +
* openssl pkcs12 -export -inkey $MAIL.key -in $MAIL.crt -certfile $CA.crt -out $MAIL.p12
  
;Optional prüfen:
+
=Import in Thunderbird=
*openssl x509 -in thomas.crt -text -noout
+
;Edit → Settings → Privacy & Security → Certificates → Your Certificates → Import
 +
;Select martha.p12
 +
;Enter export password (if set)
 +
;Certificate and private key are now available
  
== Erzeugung der PKCS#12-Datei für Thunderbird ==
+
===Import===
 +
[[Datei:S-mime-1.png|800px]]
  
*openssl pkcs12 -export -out thomas.p12 -inkey thomas.key -in thomas.crt -certfile ca.crt
+
=S/MIME aktivieren in Thunderbird=
 +
;Account Settings → End-to-End Encryption
 +
;Abschnitt ''S/MIME''
 +
;Auf ''Select'' neben ''Personal certificate for digital signing'' klicken
 +
;Zertifikat für '''martha@it2XX.int''' auswählen
 +
;Optional: ''Digitally sign messages by default'' aktivieren
 +
;Optional: Dasselbe Zertifikat für Verschlüsselung auswählen
 +
;Speichern und Fenster schließen
  
== Import in Thunderbird ==
+
===Auswahl===
 +
[[Datei:S-mime-2.png|500px]]
  
;Einstellungen → Datenschutz & Sicherheit → Zertifikate → Ihre Zertifikate → Importieren
+
[[Kategorie:Mail]]
* '''thomas.p12''' auswählen
+
[[Kategorie:Security]]
* Optionales Passwort eingeben
+
[[Kategorie:PKI]]

Aktuelle Version vom 5. Juni 2026, 05:43 Uhr

Ziel

  • Zertifikat für martha@it2XX.int mit der eigenen Intermediate CA signieren
  • Private Schlüssel und CSR lokal erzeugen
  • Signierung durch die eigene CA

Was ist S/MIME?

Funktion Bedeutung
Signieren Empfänger kann prüfen ob die Mail wirklich von dir kommt
Verschlüsseln Nur der Empfänger kann die Mail lesen
Voraussetzung Beide Seiten brauchen ein S/MIME-Zertifikat

!!!Wichtig!!! Zum Verschlüsseln braucht man den öffentlichen Schlüssel des Empfängers – am einfachsten vorher eine signierte Mail austauschen.

Erzeugung von Key und CSR

Private Key und CSR lokal erzeugen
  • export MAIL=martha@it2XX.int
  • export CA=intermediate
  • openssl req -new -newkey rsa:4096 -nodes -keyout $MAIL.key -out $MAIL.csr -subj "/CN=$MAIL/emailAddress=$MAIL"

Signierung durch die Intermediate CA

Zertifikat mit der Intermediate CA signieren – E-Mail-Adresse im SAN
  • openssl x509 -req -in $MAIL.csr -CA $CA.crt -CAkey $CA.key -CAcreateserial -out $MAIL.crt -days 365 -extfile <(printf "subjectAltName=email:$MAIL")
Prüfen
  • openssl x509 -in $MAIL.crt -text -noout | grep -A2 "Subject Alternative"

Erzeugung der PKCS#12-Datei für Thunderbird

Zertifikat, Key und CA-Chain in eine Datei packen
  • openssl pkcs12 -export -inkey $MAIL.key -in $MAIL.crt -certfile $CA.crt -out $MAIL.p12

Import in Thunderbird

Edit → Settings → Privacy & Security → Certificates → Your Certificates → Import
Select martha.p12
Enter export password (if set)
Certificate and private key are now available

Import

S-mime-1.png

S/MIME aktivieren in Thunderbird

Account Settings → End-to-End Encryption
Abschnitt S/MIME
Auf Select neben Personal certificate for digital signing klicken
Zertifikat für martha@it2XX.int auswählen
Optional
Digitally sign messages by default aktivieren
Optional
Dasselbe Zertifikat für Verschlüsselung auswählen
Speichern und Fenster schließen

Auswahl

S-mime-2.png

Abgerufen von „http://www.xinux.net/index.php?title=S/MIME_mit_Thunderbird_und_eigener_CA&oldid=70719