S/MIME mit Thunderbird und eigener CA: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „== Voraussetzungen == * Benutzerkonto '''thomas@it113.int''' existiert * Mailserver ist vollständig verschlüsselt (TLS) * Thunderbird ist als Mailclient ein…“)
 
Zeile 1: Zeile 1:
== Voraussetzungen ==
+
= S/MIME-Zertifikatsanforderung für externe CA =
  
* Benutzerkonto '''thomas@it113.int''' existiert
+
== Ziel ==
* Mailserver ist vollständig verschlüsselt (TLS)
 
* Thunderbird ist als Mailclient eingerichtet
 
* Eigene CA wurde auf Server und Clients installiert
 
* Zertifikate der CA sind im Thunderbird und System als vertrauenswürdig markiert
 
  
== Zertifikat erstellen ==
+
* Zertifikat für '''thomas@it113.int''' von zentraler CA signieren lassen
 +
* Private Schlüssel und CSR lokal erzeugen
 +
* Keine lokale Signierung
  
Das Zertifikat muss E-Mail-Feld auf '''thomas@it113.int''' setzen.
+
== Erzeugung von Key und CSR ==
  
* Erstelle ein neues Zertifikat für den Benutzer:
+
  openssl req -new -newkey rsa:4096 -nodes -keyout thomas.key -out thomas.csr -subj "/CN=Thomas Will/emailAddress=thomas@it113.int"
  openssl req -new -newkey rsa:4096 -nodes -keyout thomas.key -out thomas.csr -subj "/CN=thomas@it113.int/emailAddress=thomas@it113.int"
 
  
* Signiere mit deiner CA:
+
== Übergabe an die zentrale CA ==
openssl x509 -req -in thomas.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out thomas.crt -days 365
 
  
* Erstelle eine PKCS#12-Datei für Thunderbird:
+
* Datei '''thomas.csr''' an CA übermitteln (z. B. per Webformular oder Mail)
openssl pkcs12 -export -out thomas.p12 -inkey thomas.key -in thomas.crt -certfile ca.crt
+
* CA erstellt daraus ein S/MIME-Zertifikat, z. B. '''thomas.crt'''
  
== Import in Thunderbird ==
+
== Empfang des Zertifikats ==
  
* Thunderbird öffnen
+
* Wenn CA-Zertifikat empfangen:
* Menü → Einstellungen → Datenschutz & Sicherheit → Zertifikate → Eigene Zertifikate anzeigen
+
* Optional prüfen:
* Importiere die Datei '''thomas.p12'''
+
openssl x509 -in thomas.crt -text -noout
* Passwort setzen, wenn gefragt
 
  
== Aktivierung von S/MIME ==
+
== Erzeugung der PKCS#12-Datei für Thunderbird ==
  
* In den Kontoeinstellungen unter '''Ende-zu-Ende-Verschlüsselung'''
+
openssl pkcs12 -export -out thomas.p12 -inkey thomas.key -in thomas.crt -certfile ca.crt
* Wähle das importierte Zertifikat aus
 
* Aktiviere '''Nachrichten standardmäßig digital signieren'''
 
* Optional: Verschlüsselung beim Senden aktivieren (wenn Empfängerzertifikat bekannt)
 
  
== Test und Nutzung ==
+
== Import in Thunderbird ==
 
 
* Testmail an dich selbst senden → prüfen, ob Signatur gültig ist
 
* Für Verschlüsselung brauchst du das öffentliche Zertifikat des Empfängers
 
* Austausch per Mail oder zentrale Verteilung möglich (z. B. Webserver, LDAP)
 
 
 
== Hinweise ==
 
  
* Das Zertifikat läuft nach der gesetzten Gültigkeit ab – regelmäßig erneuern
+
* Einstellungen → Datenschutz & Sicherheit → Zertifikate → Ihre Zertifikate → Importieren
* Die CA muss überall dort installiert sein, wo Signaturen überprüft werden
+
* '''thomas.p12''' auswählen
* Thunderbird akzeptiert nur gültige Mailadresse im Zertifikat (emailAddress)
+
* Optionales Passwort eingeben

Version vom 25. März 2025, 17:25 Uhr

S/MIME-Zertifikatsanforderung für externe CA

Ziel

  • Zertifikat für thomas@it113.int von zentraler CA signieren lassen
  • Private Schlüssel und CSR lokal erzeugen
  • Keine lokale Signierung

Erzeugung von Key und CSR

openssl req -new -newkey rsa:4096 -nodes -keyout thomas.key -out thomas.csr -subj "/CN=Thomas Will/emailAddress=thomas@it113.int"

Übergabe an die zentrale CA

  • Datei thomas.csr an CA übermitteln (z. B. per Webformular oder Mail)
  • CA erstellt daraus ein S/MIME-Zertifikat, z. B. thomas.crt

Empfang des Zertifikats

  • Wenn CA-Zertifikat empfangen:
  • Optional prüfen:
openssl x509 -in thomas.crt -text -noout

Erzeugung der PKCS#12-Datei für Thunderbird

openssl pkcs12 -export -out thomas.p12 -inkey thomas.key -in thomas.crt -certfile ca.crt

Import in Thunderbird

  • Einstellungen → Datenschutz & Sicherheit → Zertifikate → Ihre Zertifikate → Importieren
  • thomas.p12 auswählen
  • Optionales Passwort eingeben
Abgerufen von „http://wiki.ixheim.de/index.php?title=S/MIME_mit_Thunderbird_und_eigener_CA&oldid=60733