S/MIME mit Thunderbird und eigener CA: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | + | =Ziel= | |
| − | + | * Zertifikat für '''martha@it2XX.int''' mit der eigenen Intermediate CA signieren | |
| − | * Zertifikat für ''' | ||
* Private Schlüssel und CSR lokal erzeugen | * Private Schlüssel und CSR lokal erzeugen | ||
| − | * | + | * Signierung durch die eigene CA |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | + | =Was ist S/MIME?= | |
| + | {| class="wikitable" | ||
| + | ! Funktion !! Bedeutung | ||
| + | |- | ||
| + | | '''Signieren''' || Empfänger kann prüfen ob die Mail wirklich von dir kommt | ||
| + | |- | ||
| + | | '''Verschlüsseln''' || Nur der Empfänger kann die Mail lesen | ||
| + | |- | ||
| + | | '''Voraussetzung''' || Beide Seiten brauchen ein S/MIME-Zertifikat | ||
| + | |} | ||
| − | + | !!!'''Wichtig'''!!! Zum Verschlüsseln braucht man den '''öffentlichen Schlüssel des Empfängers''' – am einfachsten vorher eine signierte Mail austauschen. | |
| − | ; | + | =Erzeugung von Key und CSR= |
| + | ;Private Key und CSR lokal erzeugen | ||
| + | * export MAIL=martha@it2XX.int | ||
| + | * export CA=intermediate | ||
| + | * openssl req -new -newkey rsa:4096 -nodes -keyout $MAIL.key -out $MAIL.csr -subj "/CN=$MAIL/emailAddress=$MAIL" | ||
| − | ; | + | =Signierung durch die Intermediate CA= |
| − | *openssl x509 -in $MAIL.crt - | + | ;Zertifikat mit der Intermediate CA signieren – E-Mail-Adresse im SAN |
| + | * openssl x509 -req -in $MAIL.csr -CA $CA.crt -CAkey $CA.key -CAcreateserial -out $MAIL.crt -days 365 -extfile <(printf "subjectAltName=email:$MAIL") | ||
| − | + | ;Prüfen | |
| + | * openssl x509 -in $MAIL.crt -text -noout | grep -A2 "Subject Alternative" | ||
| − | *openssl pkcs12 -export | + | =Erzeugung der PKCS#12-Datei für Thunderbird= |
| + | ;Zertifikat, Key und CA-Chain in eine Datei packen | ||
| + | * openssl pkcs12 -export -inkey $MAIL.key -in $MAIL.crt -certfile $CA.crt -out $MAIL.p12 | ||
| − | + | =Import in Thunderbird= | |
;Edit → Settings → Privacy & Security → Certificates → Your Certificates → Import | ;Edit → Settings → Privacy & Security → Certificates → Your Certificates → Import | ||
| − | ;Select | + | ;Select martha.p12 |
;Enter export password (if set) | ;Enter export password (if set) | ||
;Certificate and private key are now available | ;Certificate and private key are now available | ||
| − | = S/MIME aktivieren in Thunderbird = | + | ===Import=== |
| + | [[Datei:S-mime-1.png|800px]] | ||
| + | |||
| + | =S/MIME aktivieren in Thunderbird= | ||
;Account Settings → End-to-End Encryption | ;Account Settings → End-to-End Encryption | ||
;Abschnitt ''S/MIME'' | ;Abschnitt ''S/MIME'' | ||
;Auf ''Select'' neben ''Personal certificate for digital signing'' klicken | ;Auf ''Select'' neben ''Personal certificate for digital signing'' klicken | ||
| − | ;Zertifikat für ''' | + | ;Zertifikat für '''martha@it2XX.int''' auswählen |
;Optional: ''Digitally sign messages by default'' aktivieren | ;Optional: ''Digitally sign messages by default'' aktivieren | ||
;Optional: Dasselbe Zertifikat für Verschlüsselung auswählen | ;Optional: Dasselbe Zertifikat für Verschlüsselung auswählen | ||
;Speichern und Fenster schließen | ;Speichern und Fenster schließen | ||
| − | [[Datei:S-mime- | + | ===Auswahl=== |
| + | [[Datei:S-mime-2.png|500px]] | ||
| + | |||
| + | [[Kategorie:Mail]] | ||
| + | [[Kategorie:Security]] | ||
| + | [[Kategorie:PKI]] | ||
Aktuelle Version vom 5. Juni 2026, 05:43 Uhr
Ziel
- Zertifikat für martha@it2XX.int mit der eigenen Intermediate CA signieren
- Private Schlüssel und CSR lokal erzeugen
- Signierung durch die eigene CA
Was ist S/MIME?
| Funktion | Bedeutung |
|---|---|
| Signieren | Empfänger kann prüfen ob die Mail wirklich von dir kommt |
| Verschlüsseln | Nur der Empfänger kann die Mail lesen |
| Voraussetzung | Beide Seiten brauchen ein S/MIME-Zertifikat |
!!!Wichtig!!! Zum Verschlüsseln braucht man den öffentlichen Schlüssel des Empfängers – am einfachsten vorher eine signierte Mail austauschen.
Erzeugung von Key und CSR
- Private Key und CSR lokal erzeugen
- export MAIL=martha@it2XX.int
- export CA=intermediate
- openssl req -new -newkey rsa:4096 -nodes -keyout $MAIL.key -out $MAIL.csr -subj "/CN=$MAIL/emailAddress=$MAIL"
Signierung durch die Intermediate CA
- Zertifikat mit der Intermediate CA signieren – E-Mail-Adresse im SAN
- openssl x509 -req -in $MAIL.csr -CA $CA.crt -CAkey $CA.key -CAcreateserial -out $MAIL.crt -days 365 -extfile <(printf "subjectAltName=email:$MAIL")
- Prüfen
- openssl x509 -in $MAIL.crt -text -noout | grep -A2 "Subject Alternative"
Erzeugung der PKCS#12-Datei für Thunderbird
- Zertifikat, Key und CA-Chain in eine Datei packen
- openssl pkcs12 -export -inkey $MAIL.key -in $MAIL.crt -certfile $CA.crt -out $MAIL.p12
Import in Thunderbird
- Edit → Settings → Privacy & Security → Certificates → Your Certificates → Import
- Select martha.p12
- Enter export password (if set)
- Certificate and private key are now available
Import
S/MIME aktivieren in Thunderbird
- Account Settings → End-to-End Encryption
- Abschnitt S/MIME
- Auf Select neben Personal certificate for digital signing klicken
- Zertifikat für martha@it2XX.int auswählen
- Optional
- Digitally sign messages by default aktivieren
- Optional
- Dasselbe Zertifikat für Verschlüsselung auswählen
- Speichern und Fenster schließen
Auswahl
