Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
centos:smime [11.01.2011 09:53. ]
django [Zuweisen des Cacert-Zertifikates zum Nutzerkonto] Bild ausgetauscht
centos:smime [20.09.2011 11:03. ] (aktuell)
django [Zuweisen des Cacert-Zertifikates zum Nutzerkonto] Bildbeschreibung korrigiert
Zeile 1: Zeile 1:
 +====== S/MIME in der Praxis ======
 +Nachdem wir uns im Kapitel [[centos:​openpgp_beim_mua#​openpgp_versus_s_mime|Sichere eMail mit S/MIME]] über die theoretischen Grundlagen befasst haben, widemen wir uns im nachfolgendem Kapitel der Praxis.
 +===== Client-Zertifikat bei CAcert =====
 +Um eMails digital zu signieren und/oder verschlüsseln zu können, können wir uns nach der Registrierung bei [[http://​cacert.org|CAcert]] ein [[http://​wiki.cacert.org/​wiki/​ClientCerts|Client-Zertifikat]] erstellen. Solange man nicht assured, also die Identität bestätigt, wurde, kann man sich lediglich ein 6 Monate gültiges Zertifikat erstellen lassen, welches zum Signieren und Ent-/​Verschlüsseln genutzt werden kann. Dieses Zertifikat beinhaltet __**nur**__ die eMail-Adresse,​ nicht den vollen Vor- und Zunamen.
  
 +Nach der Bestätigung durch zwei oder mehreren Assuren des CAcert Web of Trust, die einem die benötigte Anzahl von **mind. 50 Punkten**, erhält man eine Client-Zertifikat mit vollen Vor- und Zunamne, das dann eine Gültigkeit von 2 Jahren aufweist.
 +
 +Das ganze Thema wurde beim Stammtisch der Piratenpartei am 04.02.2010 einem interessierten Teilnehmerkreis erklärt (Quellen in einer höheren Auflösung gibt es beim Author auf Anfrage) und anschließend Assurances erfolgreich durchgeführt:​
 +
 +{{ :​centos:​smime_und_cacert.swf |Kurzpräsentation}}
 +
 +===== CAcert Assurer =====
 +{{:​main:​cacert-wotseal1.png |CAcert Assurer Logo}} ​
 +
 +Für [[http://​cacert.org|CAcert]] werden durch mich Assurances durchgeführt - entweder hier zu Hause in Pliening (vornehmlich am Abend oder am Wochenende) oder auch während des Tages in München Schwabing. Terminvereinbarung und Details bitte per [[mailto:​michael@nausch.org?​subject=Anfrage CAcert Assurance Terminvereinbarung| eMail]] abstimmen.
 +
 +===== Umgang mit dem CAcert Client-Zertifikat =====
 +==== Client-Zertifikat sichern ====
 +Um nun unser Zertifikat samt privaten Schlüssel, welches sich im übrigen __**nicht**__ auf dem Server bei CAcert befindet, sondern im Zertifikatsmanager des Browsers, auch in unserem **MUA** ((**M**ail **U**ser **A**gent)) nutzen zu können, müssen wir dieses über den Zertifikatsmanager unseres Browsers **Firefox** im **//​PKCS#​12-Format//​** erst einmal exportieren.
 +
 +Über den Menüpunkt "​**Bearbeiten/​Edit** und **Einstellungen/​Preferences**"​ erreichen wir diesen Zertifikatsmanager.
 +
 +{{ :​centos:​zertifikatsmanager_1.png?​450 |Firefox'​s Zertifikatsverwaltung}}
 +
 +{{ :​centos:​zertifikatsmanager_2.png?​450 |Liste der privaten Zertifikate }}
 +
 +Nach Anwahl des Zertifikates,​ welches wir exportieren wollen, wählen wir die Schaltfläche **Backup**. Als nächstes werden wir gebeten, einen Namen für die Exportdatei anzugeben.
 +
 +{{ :​centos:​zertifikatsmanager_backupfilename.png?​450 |Dateiverwaltung des Zertifikatsmanagers}}
 +
 +Anschließend frägt uns Firefox nach dem Passwort des **Sicherheitsschlüsselbundes von Firefox**, den wir zum Beispiel auch zum Verwalten der Zugangspassworte für die diversen Webseiten nutzen.
 +
 +{{ :​centos:​zertifikatsmanager_passwortabfrage.png?​450 |Abfrage des Firefox-Schlüsselbund-Passwortes}}
 +
 +Da in dem exportierten Zertifikat im **PKCS#​12-Format** auch unser __privater Schlüssel__ enthalten ist, schützen wir diesen durch eine geeignete Passphrase.
 +
 +{{ :​centos:​zertifikatsmanager_passphraseeingabe.png?​450 |Eingabe der Passphrase für den privaten Schlüssel}}
 +
 +Am Ende wird uns der erfolgreiche Export unseres Zertifikates bestätigt.
 +
 +{{ :​centos:​zertifikatsmanager_finished.png?​450 |Fertigmeldung des Zertifikatsmanagers}}
 +
 +Sicherheitshalber passen wir gleich noch die Dateiberechtigung unserer Schlüsseldatei an.
 +   $ chmod 600 cacert-key-bundle.p12
 +Und sichern die Datei an einem besonders geschützten Ort (Diskette oder USB-Stick).
 +
 +Nach getaner Arbeit, vernichten wir die Exportdatei:​
 +   $ shred -u cacert-key-bundle.p12
 +
 +==== Verwendung des Client-Zertifikat im MUA Evolution ====
 +Das zuvor gesicherte Client-Zertifikat importieren wir nun in unser eMAil-Programm **//​Evolution//​**. Hierzu wählen wir **MUA** unter "​**Einstellungen**"​ den Dialog **//​Certificate//​** und importieren so 
 +unser zuvor gesichertes persönliches Zertifikat.
 +
 +{{ :​centos:​evolution_certifikatsmanager.png?​450 |Evolution'​s Zertifikatsmanager}}
 +
 +Bei den **//Mail Account//** Einstellungen aktivieren geben wir dann für den Account den betreffenden Schlüssel frei.
 +
 +{{ :​centos:​evolition_security_einstellungen.png?​450 |Evolutions Secutity Einstellungen}}
 +
 +Nach getaner Arbeit, vernichten wir die Schlüsseldatei:​
 +   $ shred -u cacert-key-bundle.p12
 +
 +
 +==== Verwendung des Client-Zertifikat im MUA Thunderbird ====
 +=== Installation des MUA Thunderbird ===
 +Den eMail-Client oder auch MUA ((**M**ail **U**ser **A**gent)) verwenden wir nicht das RPM-Paket aus dem updates-Repository,​ sondern installieren das aktuelle Programmpaket per Hand.
 +
 +Hierzu laden wir uns ale erstes die aktuelle Version von der [[http://​www.thunderbird-mail.de/​wiki/​Herunterladen|Download-/​Projektseite]] auf unseren Rechner. ​
 +Das heruntergeladene Paket entpacken wir im Verzeichnis **/​usr/​local/​src**
 +  # cd /​usr/​local/​src/​packages
 +  # tar xfvj thunderbird-3.1.7.tar.bz2
 +Auf unserem Desktop egen wir uns für den MailUserAgent noch einen starter an, der uns das Programm **/​usr/​local/​src/​thunderbird/​thunderbird** an.
 +Nach dem Aufruf des Progammes legen wir unseren User und die zugehörigen IMAP-und SMTP-Serverdefinitionen an.
 +=== Importieren der CAcert-Rootzertifikate ===
 +Damit unsere CAcert-Zertifikat und das unserer Kontaktpersonen verwendet werden können importieren wir nun die beiden Root-Zertifikate von CAcert in unserem Mailclient. ​
 +Im ersten Schritt laden wir uns die beiden Zertifikate von der [[http://​www.cacert.org/​index.php?​id=3|CAcert Seite]] auf unseren Rechner, in dem wir sowohl das [[http://​www.cacert.org/​certs/​root.der|Class 1 Root-Zertifikat im DER-Format]] wie auch das [[http://​www.cacert.org/​certs/​class3.der|Class 3 Root-Zertifikat im DER-Format]] auf unserem lokalen Rechner speichern.
 +
 +Über den Menüpunkt **[Bearbeiten] [Einstellungen]** erreichen wir die Zertifikatsmanger von Thunderbird.
 +
 +{{ :​centos:​thunderbird_000.png?​200 |Bild vom Menüpunkt [Bearbeiten] [Einstellung] von Thunderbird}}
 +
 +Auf dem Reiter Zertifikate finden wir nun den Zertifikatsmanager von Thunderbird.
 +
 +{{ :​centos:​thunderbird_001.png?​400 |Bild vom Zertifikatsmanager von Thunderbird}}
 +
 +Als nächstes wählen wir den Punkt Zertifikate und zum Importieren der beiden CAcert-Rootzertifikate den Reiter **[Zertifizierungsstellen]** aus.
 +
 +{{ :​centos:​thunderbird_002.png?​400 |Bild vom Zertifikatsmanager von Thunderbird}}
 +
 +Zunächst importieren wir das Class 1 Zertifikat. hierzu wählen wir die Schaltfläche **[Importieren ...]** aus.
 +
 +{{ :​centos:​thunderbird_003.png?​400 |Bild vom Auswahlfenster zum Wählen der Zertifikatsdatei}}
 +
 +Beim nachfolgenden Auswahlfenster wählen wir die oberen beiden Optionen //Dieser CA vertrauen, um Websites zu identifizieren//​ und //Dieser CA vertrauen, um E-MAil-Nutzer zu identifizieren//​ aus.
 +
 +{{ :​centos:​thunderbird_004.png?​400 |Bild vom Auswahlfenster zum Wählen der Vetrauensstufen des CAcert Class 1 Root-Zertifikates}}
 +
 +Wie zuvor beim Importieren des Class 1 Zertifikates,​ gehen wir nun beim Importieren des Class 3 Zertifikates vor.
 +
 +{{ :​centos:​thunderbird_005.png?​400 |Bild vom Auswahlfenster zum Wählen der Zertifikatsdatei}}
 +
 +Auch hier wählen wir beim nachfolgenden Auswahlfenster die oberen beiden Optionen //Dieser CA vertrauen, um Websites zu identifizieren//​ und //Dieser CA vertrauen, um E-MAil-Nutzer zu identifizieren//​ aus.
 +
 +{{ :​centos:​thunderbird_006.png?​400 |Bild vom Auswahlfenster zum Wählen der Vetrauensstufen des CAcert Class 3 Root-Zertifikates}}
 +
 +=== Importieren des persönlichen CAcert-Zertifikates ===
 +Damit wir nun auch unsere eigenen eMails signieren und die empfangenen entschlüsseln können müssen wir noch unser persönliches Zertifikat importieren. Falls noch nicht geschehen, exportieren wir dieses, im Webbroser Firefox vorhandenen,​ Zertifikates,​ wie im Kapitel [[http://​dokuwiki.nausch.org/​doku.php/​centos:​smime#​client-zertifikat_sichern|Client-Zertifikat sichern]] beschrieben.
 +
 +Das Importieren in den MailUserAgent Thunderbird erfolgt nun analog dem Importieren der CAcert-Rootzertifikate.
 +
 +Über den Menüpunkt **[Bearbeiten] [Einstellungen]** erreichen wir die Zertifikatsmanger von Thunderbird.
 +
 +{{ :​centos:​thunderbird_000.png?​200 |Bild vom Menüpunkt [Bearbeiten] [Einstellung] von Thunderbird}}
 +
 +Auf dem Reiter Zertifikate finden wir nun den Zertifikatsmanager von Thunderbird.
 +
 +{{ :​centos:​thunderbird_001.png?​400 |Bild vom Zertifikatsmanager von Thunderbird}}
 +
 +Als nächstes wählen wir den Punkt Zertifikate und zum Importieren der beiden CAcert-Rootzertifikate den Reiter **[Ihre Zertifikate]** aus.
 +
 +{{ :​centos:​thunderbird_007.png?​400 |Bild vom Zertifikatsmanager von Thunderbird}}
 +
 +Zum Installieren unseres privaten Zertifikates wählen wir die Schaltfläche **[Importieren ...]** aus.
 +
 +{{ :​centos:​thunderbird_008.png?​400 |Bild vom Auswahlfenster zum Wählen der Zertifikatsdatei}}
 +
 +Im nächsten Schritt wird die Passphrase der Schlüsseldatei,​ die wir beim Sichern des Zertifikates angegeben hatten, abgefragt.
 +
 +{{ :​centos:​thunderbird_009.png?​250 |Bild vom Fenster zum Eingeben der Passphrase}}
 +
 +Das erfolgreiche Importieren unseres Sicherheitszertifikates und unseres persönlichen Schlüssels wird uns entsprechend positiv bestätigt.
 +
 +{{ :​centos:​thunderbird_010.png?​400 |Bild vom Bestätigungsfensters nach erfolgreichem Import}}
 +
 +Am Ende des Importvorganges finden wir nun unser Zertifikat im Zertifikatsmanager von Thunderbird vor.
 +
 +{{ :​centos:​thunderbird_011.png?​400 |Bild vom Zertifikatsmanager von Thunderbird}}
 +
 +Nach getaner Arbeit, vernichten wir die Schlüsselbundimportdatei,​ die wire soeben in Thunderbird integrierd haben:
 +
 + $ shred -u michi-crt.p12
 +=== Zuweisen des Cacert-Zertifikates zum Nutzerkonto ===
 +Damit wir nun unser zuvor importiertes Zertifikat zum Signieren und Entschlüsseln,​ verwenden können, müssen wir noch unseren Schlüssel mit unserem Benutzerkonto verknüpfen. Hierzu wählen wir den Menüpunkt **[Bearbeiten] [Konten-Einstellungen...]** aus.
 +
 +{{ :​centos:​thunderbird_013.png?​200 |Bild vom Menüpunkt [Bearbeiten] [Konten-Einstellungen...] von Thunderbird}}
 +
 +Beim Menüpunkt **S/MIME Sicherheit** wählen wir nun unser importiertes Zertifikat sowohl beim Punkt **Digitale Unterschrift** als auch beim Punkt **Verschlüsselung** aus.
 +
 +{{ :​centos:​thunderbird_012.png?​600 |Bild vom Fenster "​Konto-Einstellungen"​ von Thunderbird}}
  • centos/smime.txt
  • Zuletzt geändert: 20.09.2011 11:03.
  • von django