Inhaltsverzeichnis

S/MIME in der Praxis

Nachdem wir uns im Kapitel Sichere eMail mit S/MIME über die theoretischen Grundlagen befasst haben, widemen wir uns im nachfolgendem Kapitel der Praxis.

Client-Zertifikat bei CAcert

Um eMails digital zu signieren und/oder verschlüsseln zu können, können wir uns nach der Registrierung bei CAcert ein Client-Zertifikat erstellen. Solange man nicht assured, also die Identität bestätigt, wurde, kann man sich lediglich ein 6 Monate gültiges Zertifikat erstellen lassen, welches zum Signieren und Ent-/Verschlüsseln genutzt werden kann. Dieses Zertifikat beinhaltet nur die eMail-Adresse, nicht den vollen Vor- und Zunamen.

Nach der Bestätigung durch zwei oder mehreren Assuren des CAcert Web of Trust, die einem die benötigte Anzahl von mind. 50 Punkten, erhält man eine Client-Zertifikat mit vollen Vor- und Zunamne, das dann eine Gültigkeit von 2 Jahren aufweist.

Das ganze Thema wurde beim Stammtisch der Piratenpartei am 04.02.2010 einem interessierten Teilnehmerkreis erklärt (Quellen in einer höheren Auflösung gibt es beim Author auf Anfrage) und anschließend Assurances erfolgreich durchgeführt:

Kurzpräsentation

CAcert Assurer

CAcert Assurer Logo

Für CAcert werden durch mich Assurances durchgeführt - entweder hier zu Hause in Pliening (vornehmlich am Abend oder am Wochenende) oder auch während des Tages in München Schwabing. Terminvereinbarung und Details bitte per eMail abstimmen.

Umgang mit dem CAcert Client-Zertifikat

Client-Zertifikat sichern

Um nun unser Zertifikat samt privaten Schlüssel, welches sich im übrigen nicht auf dem Server bei CAcert befindet, sondern im Zertifikatsmanager des Browsers, auch in unserem MUA 1) nutzen zu können, müssen wir dieses über den Zertifikatsmanager unseres Browsers Firefox im PKCS#12-Format erst einmal exportieren.

Über den Menüpunkt „Bearbeiten/Edit und Einstellungen/Preferences“ erreichen wir diesen Zertifikatsmanager.

Firefox's Zertifikatsverwaltung

Liste der privaten Zertifikate

Nach Anwahl des Zertifikates, welches wir exportieren wollen, wählen wir die Schaltfläche Backup. Als nächstes werden wir gebeten, einen Namen für die Exportdatei anzugeben.

Dateiverwaltung des Zertifikatsmanagers

Anschließend frägt uns Firefox nach dem Passwort des Sicherheitsschlüsselbundes von Firefox, den wir zum Beispiel auch zum Verwalten der Zugangspassworte für die diversen Webseiten nutzen.

Abfrage des Firefox-Schlüsselbund-Passwortes

Da in dem exportierten Zertifikat im PKCS#12-Format auch unser privater Schlüssel enthalten ist, schützen wir diesen durch eine geeignete Passphrase.

Eingabe der Passphrase für den privaten Schlüssel

Am Ende wird uns der erfolgreiche Export unseres Zertifikates bestätigt.

Fertigmeldung des Zertifikatsmanagers

Sicherheitshalber passen wir gleich noch die Dateiberechtigung unserer Schlüsseldatei an.

 $ chmod 600 cacert-key-bundle.p12

Und sichern die Datei an einem besonders geschützten Ort (Diskette oder USB-Stick).

Nach getaner Arbeit, vernichten wir die Exportdatei:

 $ shred -u cacert-key-bundle.p12

Verwendung des Client-Zertifikat im MUA Evolution

Das zuvor gesicherte Client-Zertifikat importieren wir nun in unser eMAil-Programm Evolution. Hierzu wählen wir MUA unter „Einstellungen“ den Dialog Certificate und importieren so unser zuvor gesichertes persönliches Zertifikat.

Evolution's Zertifikatsmanager

Bei den Mail Account Einstellungen aktivieren geben wir dann für den Account den betreffenden Schlüssel frei.

Evolutions Secutity Einstellungen

Nach getaner Arbeit, vernichten wir die Schlüsseldatei:

 $ shred -u cacert-key-bundle.p12

Verwendung des Client-Zertifikat im MUA Thunderbird

Installation des MUA Thunderbird

Den eMail-Client oder auch MUA 2) verwenden wir nicht das RPM-Paket aus dem updates-Repository, sondern installieren das aktuelle Programmpaket per Hand.

Hierzu laden wir uns ale erstes die aktuelle Version von der Download-/Projektseite auf unseren Rechner. Das heruntergeladene Paket entpacken wir im Verzeichnis /usr/local/src

# cd /usr/local/src/packages
# tar xfvj thunderbird-3.1.7.tar.bz2

Auf unserem Desktop egen wir uns für den MailUserAgent noch einen starter an, der uns das Programm /usr/local/src/thunderbird/thunderbird an. Nach dem Aufruf des Progammes legen wir unseren User und die zugehörigen IMAP-und SMTP-Serverdefinitionen an.

Importieren der CAcert-Rootzertifikate

Damit unsere CAcert-Zertifikat und das unserer Kontaktpersonen verwendet werden können importieren wir nun die beiden Root-Zertifikate von CAcert in unserem Mailclient. Im ersten Schritt laden wir uns die beiden Zertifikate von der CAcert Seite auf unseren Rechner, in dem wir sowohl das Class 1 Root-Zertifikat im DER-Format wie auch das Class 3 Root-Zertifikat im DER-Format auf unserem lokalen Rechner speichern.

Über den Menüpunkt [Bearbeiten] [Einstellungen] erreichen wir die Zertifikatsmanger von Thunderbird.

Bild vom Menüpunkt [Bearbeiten] [Einstellung] von Thunderbird

Auf dem Reiter Zertifikate finden wir nun den Zertifikatsmanager von Thunderbird.

Bild vom Zertifikatsmanager von Thunderbird

Als nächstes wählen wir den Punkt Zertifikate und zum Importieren der beiden CAcert-Rootzertifikate den Reiter [Zertifizierungsstellen] aus.

Bild vom Zertifikatsmanager von Thunderbird

Zunächst importieren wir das Class 1 Zertifikat. hierzu wählen wir die Schaltfläche [Importieren …] aus.

Bild vom Auswahlfenster zum Wählen der Zertifikatsdatei

Beim nachfolgenden Auswahlfenster wählen wir die oberen beiden Optionen Dieser CA vertrauen, um Websites zu identifizieren und Dieser CA vertrauen, um E-MAil-Nutzer zu identifizieren aus.

Bild vom Auswahlfenster zum Wählen der Vetrauensstufen des CAcert Class 1 Root-Zertifikates

Wie zuvor beim Importieren des Class 1 Zertifikates, gehen wir nun beim Importieren des Class 3 Zertifikates vor.

Bild vom Auswahlfenster zum Wählen der Zertifikatsdatei

Auch hier wählen wir beim nachfolgenden Auswahlfenster die oberen beiden Optionen Dieser CA vertrauen, um Websites zu identifizieren und Dieser CA vertrauen, um E-MAil-Nutzer zu identifizieren aus.

Bild vom Auswahlfenster zum Wählen der Vetrauensstufen des CAcert Class 3 Root-Zertifikates

Importieren des persönlichen CAcert-Zertifikates

Damit wir nun auch unsere eigenen eMails signieren und die empfangenen entschlüsseln können müssen wir noch unser persönliches Zertifikat importieren. Falls noch nicht geschehen, exportieren wir dieses, im Webbroser Firefox vorhandenen, Zertifikates, wie im Kapitel Client-Zertifikat sichern beschrieben.

Das Importieren in den MailUserAgent Thunderbird erfolgt nun analog dem Importieren der CAcert-Rootzertifikate.

Über den Menüpunkt [Bearbeiten] [Einstellungen] erreichen wir die Zertifikatsmanger von Thunderbird.

Bild vom Menüpunkt [Bearbeiten] [Einstellung] von Thunderbird

Auf dem Reiter Zertifikate finden wir nun den Zertifikatsmanager von Thunderbird.

Bild vom Zertifikatsmanager von Thunderbird

Als nächstes wählen wir den Punkt Zertifikate und zum Importieren der beiden CAcert-Rootzertifikate den Reiter [Ihre Zertifikate] aus.

Bild vom Zertifikatsmanager von Thunderbird

Zum Installieren unseres privaten Zertifikates wählen wir die Schaltfläche [Importieren …] aus.

Bild vom Auswahlfenster zum Wählen der Zertifikatsdatei

Im nächsten Schritt wird die Passphrase der Schlüsseldatei, die wir beim Sichern des Zertifikates angegeben hatten, abgefragt.

Bild vom Fenster zum Eingeben der Passphrase

Das erfolgreiche Importieren unseres Sicherheitszertifikates und unseres persönlichen Schlüssels wird uns entsprechend positiv bestätigt.

Bild vom Bestätigungsfensters nach erfolgreichem Import

Am Ende des Importvorganges finden wir nun unser Zertifikat im Zertifikatsmanager von Thunderbird vor.

Bild vom Zertifikatsmanager von Thunderbird

Nach getaner Arbeit, vernichten wir die Schlüsselbundimportdatei, die wire soeben in Thunderbird integrierd haben:

$ shred -u michi-crt.p12

Zuweisen des Cacert-Zertifikates zum Nutzerkonto

Damit wir nun unser zuvor importiertes Zertifikat zum Signieren und Entschlüsseln, verwenden können, müssen wir noch unseren Schlüssel mit unserem Benutzerkonto verknüpfen. Hierzu wählen wir den Menüpunkt [Bearbeiten] [Konten-Einstellungen…] aus.

Bild vom Menüpunkt [Bearbeiten] [Konten-Einstellungen...] von Thunderbird

Beim Menüpunkt S/MIME Sicherheit wählen wir nun unser importiertes Zertifikat sowohl beim Punkt Digitale Unterschrift als auch beim Punkt Verschlüsselung aus.

Bild vom Fenster "Konto-Einstellungen" von Thunderbird

1) , 2)
Mail User Agent