S/MIME mit Thunderbird und eigener CA: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „== Voraussetzungen == * Benutzerkonto '''thomas@it113.int''' existiert * Mailserver ist vollständig verschlüsselt (TLS) * Thunderbird ist als Mailclient ein…“)
 
 
(18 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
== Voraussetzungen ==
+
== Ziel ==
  
* Benutzerkonto '''thomas@it113.int''' existiert
+
* Zertifikat für '''thomas@it113.int''' von zentraler CA signieren lassen
* Mailserver ist vollständig verschlüsselt (TLS)
+
* Private Schlüssel und CSR lokal erzeugen
* Thunderbird ist als Mailclient eingerichtet
+
* Keine lokale Signierung
* Eigene CA wurde auf Server und Clients installiert
 
* Zertifikate der CA sind im Thunderbird und System als vertrauenswürdig markiert
 
  
== Zertifikat erstellen ==
+
== Erzeugung von Key und CSR ==
 +
*export MAIL=thomas@it113.int
 +
*openssl req -new -newkey rsa:4096 -nodes -keyout $MAIL.key -out $MAIL.csr -subj "/CN=$MAIL/emailAddress=$MAIL"
  
Das Zertifikat muss E-Mail-Feld auf '''thomas@it113.int''' setzen.
+
== Übergabe an die zentrale CA ==
  
* Erstelle ein neues Zertifikat für den Benutzer:
+
; Datei '''thomas.csr''' an CA übermitteln (z. B. per Webformular oder Mail)
openssl req -new -newkey rsa:4096 -nodes -keyout thomas.key -out thomas.csr -subj "/CN=thomas@it113.int/emailAddress=thomas@it113.int"
 
  
* Signiere mit deiner CA:
+
;CA erstellt daraus ein S/MIME-Zertifikat, z. B. '''thomas.crt'''
openssl x509 -req -in thomas.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out thomas.crt -days 365
 
  
* Erstelle eine PKCS#12-Datei für Thunderbird:
+
== Empfang des Zertifikats ==
openssl pkcs12 -export -out thomas.p12 -inkey thomas.key -in thomas.crt -certfile ca.crt
 
  
== Import in Thunderbird ==
+
;Wenn CA-Zertifikat empfangen:
  
* Thunderbird öffnen
+
;Optional prüfen:
* Menü → Einstellungen → Datenschutz & Sicherheit → Zertifikate → Eigene Zertifikate anzeigen
+
*openssl x509 -in $MAIL.crt -text -noout
* Importiere die Datei '''thomas.p12'''
 
* Passwort setzen, wenn gefragt
 
  
== Aktivierung von S/MIME ==
+
== Erzeugung der PKCS#12-Datei für Thunderbird ==
  
* In den Kontoeinstellungen unter '''Ende-zu-Ende-Verschlüsselung'''
+
*openssl pkcs12 -export  -inkey $MAIL.key -in $MAIL.crt -out $MAIL.p12
* Wähle das importierte Zertifikat aus
 
* Aktiviere '''Nachrichten standardmäßig digital signieren'''
 
* Optional: Verschlüsselung beim Senden aktivieren (wenn Empfängerzertifikat bekannt)
 
  
== Test und Nutzung ==
+
== Import in Thunderbird ==
 
+
;Edit → Settings → Privacy & Security → Certificates → Your Certificates Import
* Testmail an dich selbst senden prüfen, ob Signatur gültig ist
+
;Select thomas.p12
* Für Verschlüsselung brauchst du das öffentliche Zertifikat des Empfängers
+
;Enter export password (if set)
* Austausch per Mail oder zentrale Verteilung möglich (z. B. Webserver, LDAP)
+
;Certificate and private key are now available
 
 
== Hinweise ==
 
  
* Das Zertifikat läuft nach der gesetzten Gültigkeit ab – regelmäßig erneuern
+
= S/MIME aktivieren in Thunderbird =
* Die CA muss überall dort installiert sein, wo Signaturen überprüft werden
+
;Account Settings → End-to-End Encryption
* Thunderbird akzeptiert nur gültige Mailadresse im Zertifikat (emailAddress)
+
;Abschnitt ''S/MIME''
 +
;Auf ''Select'' neben ''Personal certificate for digital signing'' klicken
 +
;Zertifikat für '''thomas@it113.int''' auswählen
 +
;Optional: ''Digitally sign messages by default'' aktivieren
 +
;Optional: Dasselbe Zertifikat für Verschlüsselung auswählen
 +
;Speichern und Fenster schließen
 +
===Import===
 +
[[Datei:S-mime-1.png|800px]]
 +
===Auswahl===
 +
[[Datei:S-mime-2.png|500px]]

Aktuelle Version vom 26. März 2025, 05:03 Uhr

Ziel

  • Zertifikat für thomas@it113.int von zentraler CA signieren lassen
  • Private Schlüssel und CSR lokal erzeugen
  • Keine lokale Signierung

Erzeugung von Key und CSR

  • export MAIL=thomas@it113.int
  • openssl req -new -newkey rsa:4096 -nodes -keyout $MAIL.key -out $MAIL.csr -subj "/CN=$MAIL/emailAddress=$MAIL"

Übergabe an die zentrale CA

Datei thomas.csr an CA übermitteln (z. B. per Webformular oder Mail)
CA erstellt daraus ein S/MIME-Zertifikat, z. B. thomas.crt

Empfang des Zertifikats

Wenn CA-Zertifikat empfangen
Optional prüfen
  • openssl x509 -in $MAIL.crt -text -noout

Erzeugung der PKCS#12-Datei für Thunderbird

  • openssl pkcs12 -export -inkey $MAIL.key -in $MAIL.crt -out $MAIL.p12

Import in Thunderbird

Edit → Settings → Privacy & Security → Certificates → Your Certificates → Import
Select thomas.p12
Enter export password (if set)
Certificate and private key are now available

S/MIME aktivieren in Thunderbird

Account Settings → End-to-End Encryption
Abschnitt S/MIME
Auf Select neben Personal certificate for digital signing klicken
Zertifikat für thomas@it113.int auswählen
Optional
Digitally sign messages by default aktivieren
Optional
Dasselbe Zertifikat für Verschlüsselung auswählen
Speichern und Fenster schließen

Import

S-mime-1.png

Auswahl

S-mime-2.png

Abgerufen von „http://wiki.ixheim.de/index.php?title=S/MIME_mit_Thunderbird_und_eigener_CA&oldid=60767