Zertifikate importieren und verwalten (Zertifikat)
Wegen der Breite einiger Abbildungen empfehlen wir die rechte Spalte mit den aktuellen Meldungen auszublenden!
In den Anleitungen wird eine spezielle Schreibweise verwendet.
Root Zertifikat herunterladen
Man benötigt zum Prüfen einer unterschriebenen E-Mail das jeweilige Root-Zertigikat der austellenenden CA des Absenders.
In Mozilla Thunderbird sind schon etliche Root-Zertiikate standardmäßig enthalten. Wenn das entsprechtende Root-Zertifikat nicht enthalten ist, kann man es importieren. Im allgemeinen finder man durch eine geeignete Suchmaschinenabfrage relativ schnell die entsprechende Webseite, von der man sich das gewünschte Root-Zertifikat herunterladen kann.
Beispiele
- Suchabfrage: Universität Bamberg Zertifikate
- Ergebnis: Uniiversität Bamberg Zertifizierungsstelle (Uni Bamberg CA) - G0
- Suchabfrage: Universität Berlin Zertifikate
- Ergebnis: Zertifizierungsinstanz der Humboldt-Universität zu Berlin
- Suchabfrage: Universität Erlangen Zertifikate
- Ergebnis: RRZE - GRID Zertifikate
Am Beispiel der DFN GRID Root Zertifikates soll gezeigt werden, wie man ein Root Zertifikat herunterlädt und importiert. Bei anderen Institutionen findet man im allgemeinen Hinweise auf deren Website.
Offnen Sie diesen URL z.B. mit Mozilla Firefox
Mozilla Firefox
In Mozilla Firefox kann das Zertifikat direkt importiert werden
Einfach auf
Download des Wurzelzertifikates DFN-Verein PCA Grid - G01 klicken.
Mozilla Thunderbird kann das Zertifikat leider nicht direkt importieren.
Um das Zertifikat in Mozilla Thunderbird zu importieren, muss man dieses in einer Datei zwischenspeichern.
Z.B. im Mozilla Firefox mit
>. Ziel speichern unter
nach z.B.
c:\tmp\root-ca-cert-crt
ablegen.
Root Zertifikat importieren
Jetzt kann man das Zertifikat aus aus der Datei importieren.
Mozilla Thunderbird
> Extras > Einstellungen > Zertifikate > Zertifiierungsstellen > Importieren [Zertifikations-Datei]
c:\tmp\root-ca-cert-crt auswählen.
> Öffnen
( ) Dieser CA vertrauen, um Websites zu identifizieren
(x) Dieser CA vertrauen, um E-Mail-Nutzer zu identifizieren
( ) Dieser CA vertrauen, um Software-Entwickler zu identifizieren
> Ok
Persönliches Zertifikat importieren
Um E-Mail selbst unterschreiben oder verschlüsseln zu können, benötigt man zusätzlich zum eingenen Root-Zertifikat ein persönliches Zertifikat. Erhält man von seiner CA das persönliche Zertifikat als Datei, so kann man das Perönliche Zertikikat direkt aus diesr Datei importieren.
Mache CA's integrieren das persönliche Zertifikat per Mausklick direkt in den Webbrowser. Man muss es dann aus dem Browser erst in eine Datei sichern.
Persönliche Zertifikate sind im Mozilla Thunderbird durch ein Masterpasswort und eine Passphrase gesichert. Bitte merken Sie sich diese gut.
Mozilla Firefox
> Extras > Einstellungen > Erweitert > Zertifikate anzeigen > Ihre Zertifikate
Wählen Sie Ihr Zertifikat aus und klcken Sie auf
> Backup
Mozilla Thunderbird
> Extras > Einstellungen > Datenschutz > Zertifikate > Ihre Zertifikate > Importieren
Zertifikate anderer Personen importieren
Zertifikate anderer Personen, werden automatisch importiert, sobald Ihnen jemand eine zertifizierte E-Mail schickt und Sie das Root Zertifiat von dessen CA entweder iimportiert haben, oder wenn dieses schon standardmäßig in Ihrem Mozilla Thunderbird enthalten ist..
So können Sie sich die importierten Zertifikate anderer Personen ansehen
> Extras > Einstellungen > Datenschutz > Zertifikate > Zertifikate anderer Personen
Zertifikat-Widerufslisten (CRL's) verwalten
Zertifikate sind im allgemeinen nur befristet gültig, bzw. könnten auch aus anderen Gründen zurückgezugen werden. Um das zu überwachen gibt es Zertifikat-Widerufslisten die von Zeit zu Zeit aktualisiert werden sollten. Die entsprechende URL zur Aktuallisierung finden Sie im allgemeien auf der Webseite, von der Sie das Wurzelzertifikat heruntegladen haben.
> Extras > Einstellungen > Datenschutz > CRLs... > Importieren
CRL importieren von:
URL eingeben
> Ok
> Extras > Einstellungen > Datenschutz > CRLs... > Einstellungen
(x) Automatisches Update für diese CRL aktivieren
( ) Führe Update 1 Tag(e) vor dem Datum unter "Nächstes Update" durch
(*) Führe Update alle 1 Tag(e) durch
> Ok
Online Certificate Status Protocol (OCSP) konfigurieren
Da Zertifikat-Widerufslisten lokal gehalten werden müssen, und dortl leider nicht immer aktuell sind, gibt es das neuere Verfahren OSCP.
Hierbei wird bei jeder Mail durch Anfrage bei einem OCSP Responder die Validität des in der E-Mail enhaltenen enthaltenen öffentlichen Zertifikates, sowie der der aktuelle Status der Zertifikats-Widerufsliste überprüft.
> Extras > Einstellungen > Datenschutz > OCSP...
( ) OCSP nicht für Zertifizierung verwenden
(*) OCSP nur zur Validierung von Zertifikaten verwenden, die eine OCSP-Service-URL angeben:
( ) OCSP zur Validierung aller Zertifikate unter Verwendung folgender URL und Unterzeichner verwenden:
Zertifikatsklassen
- Klasse 1: Verifzierung der E-Mail-Adresse über eine E-Mail. Ein Klasse 1-Zertifikat ist dementsprechend wenig sicher, da eine E-Mail-Adresse relativ leicht zu fälschen ist. Vorteil des Klasse 1-Zertifikates: Es ist meist kostenlos erhältlich, da es wenig Aufwand für die Zertifizierungsstelle ist. Oft werden Klasse 1-Zertifikate von den Zertifizierungsstellen auch als sogenannte "Probe"- oder "Test-Zertifikate" ausgegeben.
- Klasse 2: Hierbei erfolgt die Verifzierung in der Regel anhand eines (amtlichen) Dokumentes. Es muß zum Beispiel der Personalausweis oder Führerschein vorgelegt werden. Die Kosten liegen hierbei - je nach Zertifizierungsstelle - etwa ab 30 DM.
- Klasse 3: Hierbei handelt es sich um eine persönliche Authentifizierung. Der Zertifikatsantragsteller muß persönlich bei der Zertifizierungsstelle (bzw. einem Stellvertreter wie etwa dem Postamt(sogenanntes PostIdent-Verfahren)) erscheinen und sich ausweisen. Dieses Verfahren garantiert eine sehr hohe Sicherheit. Allerdings ist es oft nur eingeschränkt verfügbar, da viele Zertifizierungsstellen diese Form der Authentifizierung nur im näheren Umfeld Ihres Institutssitzes vornehmen.
Je sicherer ein Zertifikat ist, desto aufwendiger und damit teurer wird es in der Regel. Die Preise variieren je nach Zertifizierungsstelle.
Diese Definition wurde der Anleitung von strato.de 
So verschlüsseln und signieren Sie Ihre E-Mails mit PGP oder S/MIME entnommen. Es hängt aber von der jeweiligen CA ab, welche und vieviele Klassen es gibt es gilt aber je höher die Klasse, desto sicherer ist das Zertifikat.
[Tipp] Gratis Zertifikat zum Testen
Bei CAcert.org kann umsonst ein einfaches Zerrtifikat generiert werden, das jedoch keinen verifizierten Namen sondern nur die E-Mail Adresse des Besitzers enthält. Für erste Tests, und für verschlüsselte Kommunikation unter Bekannten ist dieses einfache Zertifikat jedoch ausreichend. Für dienstliche Zwecke ist dieses Zertifikat jedoch ungeeignet..Wird dieses Zertifikat per Online Certificate Status Protocol (OCSP) überprüft, so wird dieses Zertifikat als nicht gültig gekennzeichnet.
Bei CAcert.org kann man auch qualifiziertere Zertifikate generieren, dazu muss man sich aber, vorher unter Vorlage des Personalausweises, bei sogennanten Assurern seine Identität bestäigen lassen.
zum Seitenanfang
Navigation ausblenden
