PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : s/mime Zertifikat selbst erstellen



michel_vaclav
21.07.10, 20:21
Hallo zusammen,

zum Austausch von emails zwischen meinem Firmenarbeitsplatz und meinem Rechner zuhause möchte ich gerne eine Verschlüsselung anwenden. Da unser Outlook in der Firma allerdings nur s/mime zulässt, bräuchte ich für meine private-Adresse ein entsprechendes Zertifikat. Früher hatte ich eines von Thawte, was aber ausgelaufen ist und unglücklicherweise verlangen die jetzt auch Geld für die Verlängerung.
Ich will aber kein Geld ausgeben und auch möglichst wenig Information über mich bei irgendwelchen Anbietern abladen, deshalb frage ich , ob es nicht auch möglich ist, so ein Zertifikat selbst zu erstellen und zu nutzen.
Wenn ja, hat jemand eine Anleitung parat?
Was ich bisher im Netz gefunden habe, war für meine Zwecke nicht anwendbar.

Danke

Michel_vaclav

/dev/null_Peter
21.07.10, 20:36
Hi Michel_vaclav,


Was ich bisher im Netz gefunden habe, war für meine Zwecke nicht anwendbar.

Jetzt weiß ich nicht, soll ich mir wirklich die Mühe geben und etwas schreiben? Es wird garantiert nichts anderes sein, als was du im Internet findest. Und umsonst tippe ich nicht gern.
Also: Wieso war es ... nicht anwendbar?

MfG Peter

michel_vaclav
21.07.10, 20:50
Was ich gefunden habe, waren Anleitungen, bei denen man wieder irgendwelche Infos irgendwohinschicken musste.
Oder es waren Anleitungen für Browserzertifikate.

Suche nach s/mime in Verbindung mit linux und email und Zertifikatserstellung führt meistens zu Anleitungen, wie ich eine CA einrichte.

michel_vaclav

derRichard
21.07.10, 21:54
hi!

bei s/mime musst du dir einfach ein x509 zertifikat bauen, wo halt die email passt.
und du musst es von einer ca ausstellen lassen, der vertraut wird. das kann die eigene der firma sein oder auch eine kommerzielle...

hth,
//richard

TheDarkRose
22.07.10, 06:56
www.cacert.org oder www.startssl.com

/dev/null_Peter
22.07.10, 07:22
Hi Michel_vaclav,

nun hast du ja mittlerweile zwei völlig richtige Antworten bekommen.
Selbstverständlich ist es möglich, selbst X.509-Zertifikate herzustellen. Die Frage ist, ob sich das ganze für ein einziges Zertifikat lohnt.
[Nebenbei: Ich selbst betreibe eine gar nicht mal so kleine "Privat-CA" und stelle jedes Jahr für mehrere Hundert Freunde aus diversen Foren und sonstige Personen, Zertifikate für E-Mailverschlüsselung her. Da lohnt sich der Aufwand. Aber für ein einziges ...]

Ich würde mir an deiner Stelle auch bei einem der etablierten Trustcenter eines der beliebten "Kostnix-Zertifikate" holen. Meine persönliche Empfehlung ist das TC-Trustcenter in Hamburg. Meine dortigen Kollegen verstecken den Link nur etwas: http://trustcenter.de/products/tc_internet_id.htm

Ganz wichtig bei den "Kostnix-Zertifikaten" ist, dass du sicherstellen musst, dass das Herausgeberzertifikat auch im jeweiligen Browser oder Mailclient bzw. im Zertifikatsspeicher des Betriebssystems importiert ist. Gerade bei den o.g. Zertifikaten sollte das von Hause aus nicht sein, und der Benutzer muss bewusst dem Herausgeber eines derartigen Zertifikates ohne Personenidentifizierung vertrauen. Deshalb manueller Import mit bewusstem Einstellen des Vertrauens. Und wichtig ist an dieser Stelle auch das richtige (!) Herausgeberzertifikat. Sonst geht da nix ... .

Wenn du willst, kannst du auch hier noch einmal nachlesen:
http://www.thunderbird-mail.de/wiki/FAQ#Verschl.C3.BCsselung_.26_digitale_Unterschrift

MfG Peter

michel_vaclav
22.07.10, 18:32
Hallo zusammen,

ok, ich war nicht besonders hartnäckig bei meiner Suche, aber dank Euren Hinweisen habe ich mich nochmals dahinter geklemmt und bin dann schlussendlich doch zum Ziel gekommen (für alle, die es nicht sowieso schon eingerichtet haben):


Als erstes habe ich TinyCA2 (http://freshmeat.net/projects/tinyca/) installiert (bei mir in den openSUSE Repos vorhanden).
Damit eine CA damit angelegt.
Dann für meine dienstliche email-Adresse ein Benutzer-Zertifikat angelegt
Das Benutzer-Zertifikat in eine .p12-Datei exportiert
Die CA in eine .pem-Datei exportiert
In Evolution unter Bearbeiten->Einstellungen->Zertifikate->Reiter "Zertifizierungsstellen" das CA-Zertifikat importiert
In Evolution unter Bearbeiten->Einstellungen->Zertifikate->Reiter "Ihre Zertifikate" das Benutzer-Zertifikat importiert
In Evolution unter Bearbeiten->Einstellungen->Email-Konten für die Absender-Adresse mit "Bearbeiten" im Reiter Sicherheit jeweils per "Auswählen" das Signaturzertifikat und das Verschlüsselungszertifikat angegeben.
Eine signierte email an meine Firmenadresse geschickt
Outlook meckert zunächst über eine nicht überprüfbare Signatur. Diese als vertrauenswürdig eingestuft.
Die Absenderadresse aus der empfangenen, signierten email in die Kontakte übernommen.
Verschlüsselte emails zwischen privater und Dienstlicher Adresse ausgetauscht
Zur Feier des Tages ein Weißbier aufgemacht!


Ich danke Euch für eure denzenten Hinweise.

michel_vaclav

/dev/null_Peter
22.07.10, 22:35
Prima, herzlichen Glückwunsch!
(Aber nicht, dass du mir jetzt privat bzw. beruflich Konkurrenz machst ;-) )

Da du ja Lust auf X.509-Spiele hast, möchte ich dich noch auf eine IMHO bessere Alternative hinweisen: Das Programm heißt "XCA".
Selbstverständlich ist es genau wie die bei openSUSE eingebaute CA-Funktion im YAST oder Tiny-CA "lediglich" ein GUI für openssl, aber dafür ein GUI, das sich gewaschen hat!

Du kannst hier (wie es im professionellen Bereich üblich ist), beliebig viele Templates anlegen. Also vorbereitete Vorlagen für alle Anwendungsfälle, wie CA, S/MIME-Zertifikate, SSL-Zertifikate, welche für openVPN usw.

Aber das alles ist wirklich nur was, wenn du des öfteren "TrustCenter" spielen willst. Ein einziges Zertifikat hätte ich auf der Konsole per openssl generiert.

MfG Peter