Post signieren – S/MIME Zertifikate praktisch

24.05.2019 | Petra Alm

Heute widmen wir uns der praktischen Nutzung der Zertifikate für die digitale Signatur (S/MIME). Wir erklären uns nicht nur ihre Funktion, sondern auch den Prozess ihres Erwerbs und Anwendung. Beides ist einfach und auch Sie werden die elektronische Post vertrauenswürdiger und sicherer nutzen können.

Was bedeutet ein S/MIME Zertifikat?

Mit S/MIME bezeichnen wir Standard, auf welchem die persönlichen Zertifikate basieren, die zu der elektronischen Signatur und Verschlüsselung von E-Mails dienen. Sie werden in Office Programmen genutzt und von kommerziellen Zertifizierungsstellen ausgestellt. Unter S/MIME verstehen wir also ein Zertifikat für Signierung von Post in Clients wie Outlook oder Thunderbird.

Was bringt uns die elektronische Signatur?

Der Begriff elektronische Signatur ist Träger von vielen Bedeutungen und Definitionen, aber allgemein gesagt handelt es sich um Signieren mit eigenen kryptographischen Mitteln, die die Herkunft, Echtheit und Unabänderlichkeit der signierten Nachricht sicherstellen sollen. Die rechtlichen Definitionen erklären diesen Begriff in vielen Varianten, die nicht nur für Laien schwer nachvollziehbar sind. Der Problematik der qualifizierten Signatur, oder anders gesagt der aufgrund eines qualifizierten Zertifikats sichergestellten Signatur, werden wir uns aber erst in einem anderen Artikel widmen.

Die elektronische Signatur ist ein Bestandteil der signierten Nachricht, mit welchem dem Empfänger die Herkunft, Authentizität und vor allem Unabänderlichkeit der Nachricht nachgewiesen werden. Die Signatur selbst hat mit der Verschlüsselung der Nachricht oder Schutz der E-Mail vor Mitlesen nichts gemeinsam. Signieren der Nachrichten und ihre Verschlüsselung stellen zwei unterschiedliche Begriffe und Operationen dar. 

Genug mit dem Signieren, wie lässt sich die Nachricht verheimlichen?

Falls Sie den Inhalt der Nachricht geheim halten möchten, dann können Sie sie mit dem S/MIME Zertifikat verschlüsseln. Also mit dem, welches Sie für die elektronische Signatur haben. Damit Sie jemandem die verschlüsselte Nachricht absenden können, benötigen Sie aber zuerst seinen öffentlichen Schlüssel. Einfach gesagt brauchen Sie von dem Adressaten zuerst mindestens eine signierte Nachricht zu erhalten;  um den Rest wird sich schon Ihr Postclient kümmern. Den öffentlichen Schlüssel aus der Signatur zweiter Person wird der Client speichern und mithilfe von ihm kann er die dieser Person bestimme Nachricht verschlüsseln.

Falls Sie also eine geheime Nachricht Ihrem Kollegen Franz zusenden möchten, benötigen Sie mindestens eine von ihm signierte E-Mail. Ihr Postclient wird nachfolgend Ihre Nachricht mit seinem öffentlichen Schlüssel verschlüsseln und entschlüsseln kann sie nur der Inhaber des privaten Schlüssels, also Franz.

Erwerbung des S/MIME Zertifikats

Bestellung

Das Zertifikat für die Signatur oder Verschlüsselung von E-Mails zu erwerben ist einfach. Auf dem Web SSLmarket.de geben Sie die Bestellung des S/MIME Zertifikats auf.

Der ergänzende Text der Bestellung erklärt, dass Sie das Zertifikat für den Namen und E-Mail der natürlichen Kontaktperson erwerben können, oder für eine Firma. In dem zweiten Fall geben Sie in dem ersten Schritt den Firmennamen und nicht den Personennamen auf. In dem Firmenzertifikat wird aber auch ein Firmenkontakt zusammen mit seiner E-Mailadresse aufgeführt, diese Angaben werden Sie auch ausfüllen können.

Bestellung des S/MIME Zertifikats

Bestellung des S/MIME Zertifikats. Klicken Sie das Bild an, um es zu vergrößern.

Beim Bestellen müssen Sie wissen, welche E-Mailadresse für das Zertifikat genutzt werden soll. Diese Adresse wird in der Bestellung als E-Mail der Kontaktperson für Autorisierung aufgeführt. Falls Sie beim Bestellen unsicher werden, rufen Sie uns an und wir helfen Ihnen gerne weiter.

Eine Erleichterung stellt für Sie die Tatsache dar, dass Sie uns für diesen Zertifikatstyp keinen CSR Request liefern müssen.

Ausstellung des Zertifikats

Nachdem die Bestellung erstattet wird, erhalten Sie eine E-Mail von der Zertifizierungsstelle und mithilfe dieser Nachricht erwerben Sie das Zertifikat. Klicken Sie den zugesendeten Link an und über diesen kommen Sie auf das Web der Zertifizierungsstelle, wo Ihnen eine Bestätigung angezeigt wird .

Nachdem Sie die diese Approval E-Mail anklicken, senden wir Ihnen das ausgestellte Zertifikat per E-Mail zu und ebenfalls werden Sie es im Detail der Bestellung herunterladen können. Mit dem Bestellprozess und dem Zertifikatserwerb hilft Ihnen auch unser Artikel S/MIME Zertifikat mit einem CSR erwerben und nutzen.

Signieren von E-Mail in Clients

In den folgenden Abschnitten finden Sie die Vorgehensweise für das Signieren in den zwei bekanntesten Postclients. Wir empfehlen Ihnen, das Signieren automatisch überall zu nutzen und die Verschlüsselung nur manuell einzusetzen (bevor Sie das Zertifikat des Empfängers erhalten, geht es anders auch nicht).

Microsoft Outlook

Wie wir schon oben erwähnt haben, falls das Zertifikat in Explorer, Chrome oder einem anderen Browser als Firefox generiert wird, wird es der Postclient sehen. Das Zertifikat wird in dem Systemspeicher von Windows gespeichert und steht auch anderen Programmen zur Verfügung.

Öffnen Sie Einstellungen des Programms Outlook (Ecke links oben – Optionen) und in dem Trust Center öffnen Sie Einstellungen für das Trust Center. In der E-Mail-Sicherheit finden Sie endlich auch die Einstellung der elektronischen Signatur.

Einstellung der digitalen Signatur in Outlook

Einstellung der digitalen Signatur in Outlook. Klicken Sie das Bild an, um es zu vergrößern.

Falls für die Signatur das Default-Zertifikat nicht gewählt ist (siehe Feld Standardeinstellung), können Sie dies über den Button Einstellungen ändern und in dem Posten Signaturzertifikat das richtige manuell auswählen.

Einstellung der digitalen Signatur in Outlook
Einstellung der digitalen Signatur in Outlook. Klicken Sie das Bild an, um es zu vergrößern.

So viel zu der Outlook Einstellung. Für die Signatur der eben geschriebenen Nachricht klicken Sie in dem Hauptmenü Optionen an und wählen Sie Signieren oder Verschlüsseln aus. Signierung von Nachrichten kann automatisch eingestellt werden, oder Sie können es für jede Nachricht manuell in dem Nachrichtenfenster vor dem Absenden tun.

Absendung der signierten und verschlüsselten Nachricht in Outlook

Absendung der signierten Nachricht in Outlook

Der Empfänger Ihrer Nachricht wird das Symbol der Signatur (Schleife) oder Verschlüsselung (Schloss) sehen.

Verschlüsselte und signierte Nachricht in Outlook

Verschlüsselte und signierte Nachricht in Outlook

Zum Detail der Signatur und des persönlichen S/MIME Zertifikats des Absenders können Sie nach dem Anklicken dieser Icons rechts oben kommen.

Thunderbird

In dem Programm Thunderbird muss das Zertifikat direkt in seinem Speicher vorhanden sein und auch falls Sie das Zertifikat in dem Browser Firefox abholen, hilft das Ihnen nicht. Dieser teilt mit Thunderbird den Speicher nämlich nicht. Das Zertifikat muss deshalb aus dem Browser in das Format PFX exportiert werden – dieses kann Ihnen auch als Speicherungskopie des Zertifikats zusammen mit dem privaten Schlüssel dienen - und nachfolgend nach Thunderbird importiert werden. Mehr Informationen finden Sie in dem Artikel S/MIME Zertifikat zwischen Speichern exportieren und importieren und weiter in Importieren und Einstellen des S/MIME-Zertifikats in Clients.

Nach dem erfolgreichen Importieren rufen Sie in Thunderbird die Konten-Einstellungen auf und hier wählen Sie das Zertifikat zum Signieren aus. Es lässt sich erwarten, dass sich in dem Angebot nur das einzige, eben importierte Zertifikat geben wird.

Einstellung des S/MIME Zertifikats in Thunderbird

Einstellung des S/MIME Zertifikats in Thunderbird. Klicken Sie das Bild an, um es zu vergrößern.

Signieren der Nachrichten selbst sieht folgendermaßen aus: In der eben geschriebenen Nachricht klicken Sie den Button S/MIME an und wählen Sie  Nachricht unterschreiben. In der Ecke rechts unten wird Ihnen ein neues Symbol des Briefumschlages angezeigt als Bekanntmachung über die elektronische Signatur.

Signierung der Nachricht in Thunderbird

Signierung der Nachricht in Thunderbird

Nun können Sie die Nachricht mit der elektronischen Signatur absenden. Die Nachricht verschlüsseln bedeutet die zweite Option in dem Menü auszuwählen. Bei den angekommenen elektronisch signierten Nachrichten wird Ihnen ein deutlicher Briefumschlag in dem Teil rechts angezeigt, zusammen mit den Informationen über die Nachricht.

Webclient (Gmail, Outlook)

Die Web-, oder moderner gesagt Cloud-Clients können zum Datum dieses Artikels mit den S/MIME Zertifikaten üblicherweise nicht aktiv zusammenarbeiten. Die Funktion, Post in den Webdiensten zu signieren, ist ein Vorrecht bezahlter Firmenlösungen (siehe zum Beispiel Artikel über Signieren in Office 365). Die ausländischen kostenlosen E-Mail Dienste Gmail.com und Outlook.com können aber mindestens die signierte E-Mail empfangen und die Gültigkeit der Signatur überprüfen. Das Zertifikat wird jedoch nur passiv unterstützt und für das Signieren von Post müssen diese Postfächer in den Postclient (Outlook, Thunderbird) ergänzt werden. Zu jeglichem Postfach können Sie nur über das Protokoll IMAP oder POP 3 kommen können.

Detail der elektronischen Signatur in Gmail

Detail der elektronischen Signatur in Gmail

Andere Dienste unterstützen die Signaturen nicht, dies wirkt sich mit unerwünschter Speicherung der Signatur in den Anhang mit der Endung P7S aus, die für die Empfänger oft verwirrend ist und mit welcher sie nicht weiterarbeiten können. Die Absenz der Unterstützung können Sie wieder mit einem E-Mail-Client lösen.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de