S/MIME mit Thunderbird und eigener CA

Voraussetzungen

• Benutzerkonto thomas@it113.int existiert
• Mailserver ist vollständig verschlüsselt (TLS)
• Thunderbird ist als Mailclient eingerichtet
• Eigene CA wurde auf Server und Clients installiert
• Zertifikate der CA sind im Thunderbird und System als vertrauenswürdig markiert

Zertifikat erstellen

Das Zertifikat muss E-Mail-Feld auf thomas@it113.int setzen.

• Erstelle ein neues Zertifikat für den Benutzer:

openssl req -new -newkey rsa:4096 -nodes -keyout thomas.key -out thomas.csr -subj "/CN=thomas@it113.int/emailAddress=thomas@it113.int"

• Signiere mit deiner CA:

openssl x509 -req -in thomas.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out thomas.crt -days 365

• Erstelle eine PKCS#12-Datei für Thunderbird:

openssl pkcs12 -export -out thomas.p12 -inkey thomas.key -in thomas.crt -certfile ca.crt

Import in Thunderbird

• Thunderbird öffnen
• Menü → Einstellungen → Datenschutz & Sicherheit → Zertifikate → Eigene Zertifikate anzeigen
• Importiere die Datei thomas.p12
• Passwort setzen, wenn gefragt

Aktivierung von S/MIME

• In den Kontoeinstellungen unter Ende-zu-Ende-Verschlüsselung
• Wähle das importierte Zertifikat aus
• Aktiviere Nachrichten standardmäßig digital signieren
• Optional: Verschlüsselung beim Senden aktivieren (wenn Empfängerzertifikat bekannt)

Test und Nutzung

• Testmail an dich selbst senden → prüfen, ob Signatur gültig ist
• Für Verschlüsselung brauchst du das öffentliche Zertifikat des Empfängers
• Austausch per Mail oder zentrale Verteilung möglich (z. B. Webserver, LDAP)

Hinweise

• Das Zertifikat läuft nach der gesetzten Gültigkeit ab – regelmäßig erneuern
• Die CA muss überall dort installiert sein, wo Signaturen überprüft werden
• Thunderbird akzeptiert nur gültige Mailadresse im Zertifikat (emailAddress)