Dipl.-Elektroing. Hans-Joachim Otto - www.2o2t.de

Elektronik-Tipps vom Sachverständigen

Signatur und Verschlüsselung von E-Mails

Wie auf meiner Website www.sv2020.de unter "Kontakt" nachzulesen, werden ausgehende Mails seit 2020 signiert, womit auch eine verschlüsselte Übertragung möglich ist, wenn der Kommunikationspartner den mitgelieferten Schlüssel auch entsprechend "verwendet".

Nach Ablauf der Gültigkeit des bisherigen Schlüssels musste ich einen neuen Schlüssel für S/MIME kaufen. Das habe ich über den gleichen Wiederverkäufer realisiert, bei dem ich auch schon bisher gekauft hatte.

Ich habe diesmal ein "Class 2 - Zertifikat" gekauft, bei dem nicht nur die Mail-Adresse (Class 1) verifiziert wird sondern auch die Person selbst über den elektronischen Personalausweis.

Da ich wie jedesmal meine Probleme mit der Installation hatte, schreibe ich es hiermit einfach mal auf.

Im ersten Schritt muss man eine "Zertifikats-Anforderung" dem Verkäufer schicken. Dazu dient in der Regel ein entsprechendes Tool auf seiner Website (erzeugt "CSR.pem"). Dabei wird auch im Browser ein privater Schlüssel erzeugt, der nur auf dem eigenen Rechner gespeichert werden sollte, um nicht das ganze Verfahren zu verunsichern ("Private key.pem").

Für das weitere Handling muss ein eventuelles Leerzeichen im Dateinamen entfernt werden. Einfach im Datei-Explorer umbenennen, es ist eine einfache Text-Datei.

Im weiter Fortgang der Bestellung wird beim Anbieter der Zertifikate (ich habe D-Trust gewählt) das entsprechende Zertifikat ausgestellt und als ZIP-Datei per Mail verschickt.

Um diese Dateien in Windows und Android einsetzen zu können, müssen diese in eine anderes Format umgewandelt werden, es wird eine eine PFX-Datei benötigt.

Dazu gibt es auch einen Konverter auf der Websites des Verkäufers, der ist ok aber das Problem ist, dass dafür der private Schlüssel an übertragen werden müsste, keine gute Idee. Daher empfiehlt dieser Verkäufer auch die Umsetzung mittels OPENssl auf dem eigenen Rechner.

Für die Installation des Programms gibt es verschiedene Fundstellen im Web, ist gar kein Problem. Die Systemvariablen sollte man dann noch anpassen (path), um bei der Arbeit über die Kommandozeile keine Probleme zu bekommen.

Dann startet man die Eingabeaufforderung in Windows (cmd) und geht zu dem Verzeichnis, wo man die Schlüsseldateien abgelegt hat.

Dann wird OPENssl mit folgendem Befehl, den man sich vorher mit einem Texteditor anpassen sollte, gestartet:

openssl pkcs12 -export -out certificate_Datei.pfx -inkey Privatekey.pem -in Zertifikatsdatei.cer -certfile Intermediate-Datei.cer

Dann fragt OPENssl nach einem Passworet, welches man hier gezielt eingeben und wiederholen muss. Dieses Passwort muss man sich speichern, wenn es vergessen wird kann man keine entsprechenden Einstellungen mehr vornehmen.

Die Zertifikats-Datei ist die aus der Zip-Datei, die der Verkäufer gemailt hat. Die Intermediate-Datei ist aus der gleichen Zip-Datei. Die Root-Datei braucht man nicht.

Die nunmehr generierte pfx-Datei öffnet man mit Doppelklick und importiert diese in Windows.

Im jeweiligen Mail-Programm importiert man diese Schlüssel dann ebenfalls und aktiviert diesen.

Hier als Beispiel die Einstellungen aus dem von mir genutzten Mai-Programm emClient.

Das Android-Mail-Programm (hier nutze ich Fairemail) impoirtiert den Schlüssel über "Einstellungen - Grundeinstellungen - Manuelle Einrichtung - IMAP oder SMTP - Identitäten.