Ziel

• Zertifikat für martha@it2XX.int mit der eigenen Intermediate CA signieren
• Private Schlüssel und CSR lokal erzeugen
• Signierung durch die eigene CA

Was ist S/MIME?

Funktion	Bedeutung
Signieren	Empfänger kann prüfen ob die Mail wirklich von dir kommt
Verschlüsseln	Nur der Empfänger kann die Mail lesen
Voraussetzung	Beide Seiten brauchen ein S/MIME-Zertifikat

!!!Wichtig!!! Zum Verschlüsseln braucht man den öffentlichen Schlüssel des Empfängers – am einfachsten vorher eine signierte Mail austauschen.

Erzeugung von Key und CSR

Private Key und CSR lokal erzeugen

• export MAIL=martha@it2XX.int
• export CA=intermediate
• openssl req -new -newkey rsa:4096 -nodes -keyout $MAIL.key -out $MAIL.csr -subj "/CN=$MAIL/emailAddress=$MAIL"

Signierung durch die Intermediate CA

Zertifikat mit der Intermediate CA signieren – E-Mail-Adresse im SAN

• openssl x509 -req -in $MAIL.csr -CA $CA.crt -CAkey $CA.key -CAcreateserial -out $MAIL.crt -days 365 -extfile <(printf "subjectAltName=email:$MAIL")

Prüfen

• openssl x509 -in $MAIL.crt -text -noout | grep -A2 "Subject Alternative"

Erzeugung der PKCS#12-Datei für Thunderbird

Zertifikat, Key und CA-Chain in eine Datei packen

• openssl pkcs12 -export -inkey $MAIL.key -in $MAIL.crt -certfile $CA.crt -out $MAIL.p12

Import in Thunderbird

Edit → Settings → Privacy & Security → Certificates → Your Certificates → Import

Select martha.p12

Enter export password (if set)

Certificate and private key are now available

Import

S/MIME aktivieren in Thunderbird

Account Settings → End-to-End Encryption

Abschnitt S/MIME

Auf Select neben Personal certificate for digital signing klicken

Zertifikat für martha@it2XX.int auswählen

Optional

Digitally sign messages by default aktivieren

Optional

Dasselbe Zertifikat für Verschlüsselung auswählen

Speichern und Fenster schließen

Auswahl