S/MIME mit Thunderbird und eigener CA: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Ziel ==
+
=Ziel=
 +
* Zertifikat für '''martha@it2XX.int''' mit der eigenen Intermediate CA signieren
 +
* Private Schlüssel und CSR lokal erzeugen
 +
* Signierung durch die eigene CA
  
* Zertifikat für '''thomas@it113.int''' von zentraler CA signieren lassen
+
=Was ist S/MIME?=
* Private Schlüssel und CSR lokal erzeugen
+
{| class="wikitable"
* Keine lokale Signierung
+
! Funktion !! Bedeutung
 +
|-
 +
| '''Signieren''' || Empfänger kann prüfen ob die Mail wirklich von dir kommt
 +
|-
 +
| '''Verschlüsseln''' || Nur der Empfänger kann die Mail lesen
 +
|-
 +
| '''Voraussetzung''' || Beide Seiten brauchen ein S/MIME-Zertifikat
 +
|}
  
== Erzeugung von Key und CSR ==
+
!!!'''Wichtig'''!!! Zum Verschlüsseln braucht man den '''öffentlichen Schlüssel des Empfängers''' – am einfachsten vorher eine signierte Mail austauschen.
*export MAIL=thomas@it113.int
 
*openssl req -new -newkey rsa:4096 -nodes -keyout $MAIL.key -out $MAIL.csr -subj "/CN=$MAIL/emailAddress=$MAIL"
 
  
== Übergabe an die zentrale CA ==
+
=Erzeugung von Key und CSR=
 +
;Private Key und CSR lokal erzeugen
 +
* export MAIL=martha@it2XX.int
 +
* export CA=intermediate
 +
* openssl req -new -newkey rsa:4096 -nodes -keyout $MAIL.key -out $MAIL.csr -subj "/CN=$MAIL/emailAddress=$MAIL"
  
; Datei '''thomas.csr''' an CA übermitteln (z. B. per Webformular oder Mail)
+
=Signierung durch die Intermediate CA=
 +
;Zertifikat mit der Intermediate CA signieren – E-Mail-Adresse im SAN
 +
* openssl x509 -req -in $MAIL.csr -CA $CA.crt -CAkey $CA.key -CAcreateserial -out $MAIL.crt -days 365 -extfile <(printf "subjectAltName=email:$MAIL")
  
;CA erstellt daraus ein S/MIME-Zertifikat, z. B. '''thomas.crt'''
+
;Prüfen
 +
* openssl x509 -in $MAIL.crt -text -noout | grep -A2 "Subject Alternative"
  
== Empfang des Zertifikats ==
+
=Erzeugung der PKCS#12-Datei für Thunderbird=
 +
;Zertifikat, Key und CA-Chain in eine Datei packen
 +
* openssl pkcs12 -export -inkey $MAIL.key -in $MAIL.crt -certfile $CA.crt -out $MAIL.p12
  
;Wenn CA-Zertifikat empfangen:
+
=Import in Thunderbird=
 +
;Edit → Settings → Privacy & Security → Certificates → Your Certificates → Import
 +
;Select martha.p12
 +
;Enter export password (if set)
 +
;Certificate and private key are now available
  
;Optional prüfen:
+
===Import===
*openssl x509 -in $MAIL.crt -text -noout
+
[[Datei:S-mime-1.png|800px]]
  
== Erzeugung der PKCS#12-Datei für Thunderbird ==
+
=S/MIME aktivieren in Thunderbird=
 +
;Account Settings → End-to-End Encryption
 +
;Abschnitt ''S/MIME''
 +
;Auf ''Select'' neben ''Personal certificate for digital signing'' klicken
 +
;Zertifikat für '''martha@it2XX.int''' auswählen
 +
;Optional: ''Digitally sign messages by default'' aktivieren
 +
;Optional: Dasselbe Zertifikat für Verschlüsselung auswählen
 +
;Speichern und Fenster schließen
  
*openssl pkcs12 -export  -inkey $MAIL.key -in $MAIL.crt -out $MAIL.p12
+
===Auswahl===
 +
[[Datei:S-mime-2.png|500px]]
  
== Import in Thunderbird ==
+
[[Kategorie:Mail]]
;Edit → Settings → Privacy & Security → Certificates → Your Certificates → Import
+
[[Kategorie:Security]]
;Select thomas.p12
+
[[Kategorie:PKI]]
;Enter export password (if set)
 
;Certificate and private key are now available
 

Aktuelle Version vom 5. Juni 2026, 05:43 Uhr

Ziel

  • Zertifikat für martha@it2XX.int mit der eigenen Intermediate CA signieren
  • Private Schlüssel und CSR lokal erzeugen
  • Signierung durch die eigene CA

Was ist S/MIME?

Funktion Bedeutung
Signieren Empfänger kann prüfen ob die Mail wirklich von dir kommt
Verschlüsseln Nur der Empfänger kann die Mail lesen
Voraussetzung Beide Seiten brauchen ein S/MIME-Zertifikat

!!!Wichtig!!! Zum Verschlüsseln braucht man den öffentlichen Schlüssel des Empfängers – am einfachsten vorher eine signierte Mail austauschen.

Erzeugung von Key und CSR

Private Key und CSR lokal erzeugen
  • export MAIL=martha@it2XX.int
  • export CA=intermediate
  • openssl req -new -newkey rsa:4096 -nodes -keyout $MAIL.key -out $MAIL.csr -subj "/CN=$MAIL/emailAddress=$MAIL"

Signierung durch die Intermediate CA

Zertifikat mit der Intermediate CA signieren – E-Mail-Adresse im SAN
  • openssl x509 -req -in $MAIL.csr -CA $CA.crt -CAkey $CA.key -CAcreateserial -out $MAIL.crt -days 365 -extfile <(printf "subjectAltName=email:$MAIL")
Prüfen
  • openssl x509 -in $MAIL.crt -text -noout | grep -A2 "Subject Alternative"

Erzeugung der PKCS#12-Datei für Thunderbird

Zertifikat, Key und CA-Chain in eine Datei packen
  • openssl pkcs12 -export -inkey $MAIL.key -in $MAIL.crt -certfile $CA.crt -out $MAIL.p12

Import in Thunderbird

Edit → Settings → Privacy & Security → Certificates → Your Certificates → Import
Select martha.p12
Enter export password (if set)
Certificate and private key are now available

Import

S-mime-1.png

S/MIME aktivieren in Thunderbird

Account Settings → End-to-End Encryption
Abschnitt S/MIME
Auf Select neben Personal certificate for digital signing klicken
Zertifikat für martha@it2XX.int auswählen
Optional
Digitally sign messages by default aktivieren
Optional
Dasselbe Zertifikat für Verschlüsselung auswählen
Speichern und Fenster schließen

Auswahl

S-mime-2.png

Abgerufen von „http://www.xinux.net/index.php?title=S/MIME_mit_Thunderbird_und_eigener_CA&oldid=70719