E-Mail-Zertifikate

Sie haben über die GWDG die Möglichkeit, ein Zertifikat für Ihren GWDG-Account zu beantragen. Mit Hilfe dieses Zertifikats – plus einem privaten Schlüssel – können Sie dann Mails signieren, wodurch der Empfänger sicherstellen kann, dass die Mail tatsächlich von Ihnen stammt. Weiterhin haben andere Personen die Möglichkeit, Ihnen verschlüsselte E-Mails zukommen zu lassen.

Das Programm Apple Mail beherrscht seit Mac OS 10.3 (Panther) den Umgang mit Zertifikaten; ebenso können Outlook und Thunderbird damit umgehen. Die eigentliche Verwaltung der Zertifikate und des eigenen Schlüssels übernimmt dabei das Programm „Schlüsselbund“.

Diese Anleitung erklärt, wie Sie mit den Browsern Safari oder Firefox ein eigenes Zertifikat beantragen und dieses in das System integrieren, sodass Sie mit Apple Mail, Outlook oder Thunderbird einen gesicherten E-Mail-Verkehr tätigen können.

Gehen Sie zunächst zur Zertifizierungsstelle der GWDG und klicken Sie dort auf „Zertifikate beantragen“. Wählen Sie anschließend „Zertifikatsantrag per Web-Browser“ und geben Sie Ihre Daten ein.

Beachten Sie, dass Sie später Ihr Zertifikat ausschließlich auf dem Rechner abholen können, mit dem Sie das Zertifikat beantragt haben! Verwenden Sie somit für die Beantragung einen Rechner auf den Sie immer Zugriff haben. (Nach der Abholung kann das Zertifikat aber auf beliebig viele weitere Rechner transferiert werden).

In dem Formular geben Sie zunächst Ihre E-Mail-Adresse, Ihren Namen und Ihre Abteilung ein (jeweils ohne Umlaute!). Zusätzlich können Sie zwei weitere E-Mail-Adressen angeben, die auf Ihrem Zertifikat eingetragen werden und unter denen Sie somit später signierte Mails verschicken können. Bei der PIN geben Sie ein mindesten 8-stelliges Passwort ein, welches Sie z.B. für eine evtl. Sperrung des Zertifikats oder für den späteren Import benötigen, insofern Sie einer Veröffentlichung nicht zustimmen. Anschließend klicken Sie auf „weiter“. Überprüfen Sie nun noch einmal genau Ihre Angaben, bevor Sie Ihren Antrag abschicken.

Nach dem Abschicken des Antrags wird vom Browser Ihr Schlüssel generiert – dieses kann insb. auf älteren Rechnern evtl. etwas Zeit in Anspruch nehmen. Safari scheint hierbei mit dem typischen rotierenden Ball zu „hängen“, aber beenden Sie den Browser in dieser Phase nicht, ansonsten kann das Zertifikat nicht generiert werden.

Eine ausführlichere Anleitung zur Beantragung des Zertifikats finden Sie auch auf der GWDG-Seite.

Anschließend müssen Sie den Antrag ausdrucken, die noch fehlenden Felder ergänzen und persönlich mit Identifizierung (Personalausweis) bei der GWDG abgeben – nur so kann sichergestellt werden, dass niemand in Ihrem Namen ein Zertifikat beantragt. Sie können den Antrag entweder beim Operating oder direkt bei Herrn Thorsten Hindermann thinder@gwdg.de abgeben.

Nach Bearbeitung des Antrags erhalten Sie eine E-Mail mit den Informationen zu Ihrem Zertifikat. Da die Zertifikate eine Hierarchie bilden (Telekom → DFN → GWDG → User), müssen neben Ihrem eigenen auch die Zwischenzertifikate des DFN und der GWDG in den Schlüsselbund importiert werden (das Telekom-Wurzelzertifikat ist ab 10.5 ja bereits vorinstalliert). Sowohl den Link auf Ihr eigenes als auch auf diese sog. „CA-Zertifikate“ finden Sie in der Mail.

Falls Sie den Browser Safari verwenden, klicken Sir für den Import der CA-Zertifikate einfach auf die Buttons „DFN-PCA Zertifikat“ und „GWDG CA Zertifikat“. Die beiden Zertifikate werden dann auf Ihrer Festplatte unter den Namen „intermediatecacert.crt“ und „cacert.crt“ gespeichert. Falls Sie mit Firefox arbeiten, klicken Sie mit Control+Klick (=rechter Maustaste) auf die Buttons und wählen Sie „Ziel speichern unter“.

Importieren Sie die CA-Zertifikate jeweils durch einen Doppelklick auf die Zertifikatsdatei. Wählen Sie im anschließend aufgehenden Fenster den Schlüsselbund „Anmeldung“ aus. In diesem sollten nach dem Import die Zertifikate „DFN Verein PCA Global-G01“ und „GWDG CA“ vorhanden sein und als gültig angezeigt werden (evtl. ist ein Neustart des Schlüsselbundes nötig).

Klicken Sie nun auf den anderen Link in der E-Mail, der auf Ihr eigenes Zertifikat verweist. Bitte beachten Sie – wie bereits oben erwähnt – dass Sie dies unbedingt auf dem gleichen Rechner mit dem gleichen Browser durchführen müssen, mit dem Sie das Zertifikat vorher beantragt haben!

Klicken Sie nun auf der Seite auf den Button „Zertifikat importieren“. Bei Verwendung von Safari wird nun ihr Zertifikat unter dem Namen „pki“ auf Ihrem Rechner gespeichert. Benennen Sie dieses anschließend in „pki.crt“ um und importieren Sie es durch Doppelklick in den Schlüsselbund „Anmeldung“.

Falls Sie Firefox verwenden, wird das Zertifikat zunächst nur in den Browser selbst importiert. Für den Export des Zertifikats wählen Sie im Firefox-Menu den Punkt „Einstellungen“, dort „Erweitert“ und den Reiter „Zertifikate“. Klicken Sie dort auf „Zertifikate anzeigen“. Unter „Ihre Zertifikate“ finden Sie dort ihr Zertifikat, welches Sie durch Klick auf „Sichern“ abspeichern können (die Datei hat dann die Endung „.p12“). Ihr privater Schlüssel wird hierbei durch ein Passwort geschützt, welches Sie noch angeben müssen. Auch diese Datei importieren Sie anschließend durch Doppelklick in den Schlüsselbund, wobei Sie wieder das Passwort zur Entschlüsselung eingeben müssen.

Sie sollten nun in Ihrem Schlüsselbund „Anmeldung“ sowohl Ihr Zertifikat vorfinden als auch Ihren privaten Schlüssel. Ihr Zertifikat sollte zudem als gültig angezeigt werden (evtl. ist ein Neustart des Schlüsselbunds notwendig). Damit sind nun alle Voraussetzungen für die Verwendung des Zertifikats erfüllt.

Wenn Sie unter Apple Mail eine neue Mail mit einer Absenderadresse erstellen, die in Ihrem Zertifikat enthalten ist, so erscheinen neben Ihrem Account zwei neue Icons: das Schloss-Symbol zum Verschlüsseln und ein „Rädchen“ zum Signieren. Das Schloss-Symbol können Sie nur aktivieren, wenn Sie vom Empfänger der Mail das Zertifikat importieren. Bei GWDG-Adressen können Sie diese bei ca.gwdg.de unter „Zertifikate verwalten“ suchen und – falls vorhanden – herunterladen und in den Schlüsselbund importieren (über Safari ist dafür erneut das Umbenennen in pki.crt nötig).

Unter Outlook gehen Sie über Einstellungen → Konten → Erweitert → auf den Reiter Sicherheit, wo Sie das Zertifikat zum Signieren und Entschlüsseln auswählen können. Weiterhin können Sie anwählen, ob Sie standardmäßig alle Mail signieren und/oder verschlüsseln wollen.

Nun können Sie beim Erstellen einer neuen Mail diese mit dem ausgewählten Zertifikat signieren, indem Sie über den Reiter „Optionen“ unter Sicherheit digitales Signieren oder Verschlüsseln auswählen.

In Thunderbird importieren Sie das Zertifikat zunächst, indem Sie es in den Einstellungen unter Erweitert → Zertifikate → Zertifikate → Ihre Zertifikate auswählen.

Danach kann das Zertifikat dem oder den entsprechenden Mailkonto/en zugewiesen werden. Gehen Sie dafür in die Kontoeinstellungen des betreffenden Kontos unter S/MIME-Sicherheit und wählen Sie das Zertifikat zur digitalen Unterschrift und/oder zur Verschlüsselung aus. Beim Verfassen einer Mail kann es dann über den Punkt „S/MIME“ ausgewählt werden.

Wie Sie schon gemerkt haben, besteht Ihr Zertifikat eigentlich aus zwei Teilen: dem öffentlichen Zertifikat, mit dem andere Nutzer z.B. Mails an Sie verschlüsseln können, und dem privaten Schlüssel, den Sie zum Signieren und Entschlüsseln benötigen. Dieser private Schlüssel darf keinesfalls in fremde Hände geraten, denn jeder kann mit diesem privaten Schlüssel Mails in Ihrem Namen signieren oder an Sie verschlüsselte Mails lesen!

Es ist deshalb sinnvoll, den privaten Schlüssel zusätzlich noch einmal mit einem Passwort zu verschlüsseln. Hierzu öffnen Sie das Programm Schlüsselbund und wählen Sie im Menu unter „Ablage“ den Punkt „Neuer Schlüsselbund“. Nennen Sie diesen neuen Schlüsselbund z.B. „Privater Schlüssel“. Anschließend werden Sie aufgefordert, ein Kennwort für diesen Schlüsselbund einzugeben – dies ist das Passwort, mit dem alle Objekte verschlüsselt werden, die Sie in diesen Schlüsselbund verschieben. Wählen Sie hier also ein nicht zu einfaches Passwort!

Nachdem Sie diesen neuen Passwort-geschützten Schlüsselbund erstellt haben, verschieben Sie ihren privaten Schlüssel dort hinein (nicht ihr Zertifikat).

Ihr privater Schlüssel ist nun durch das Passwort geschützt. Auch jedes Programm, welches auf diesen Schlüssel zugreifen will, wird Sie nun zunächst nach dem Passwort fragen – also z.B. Apple Mail beim Signieren oder Entschlüsseln von Mail. Damit Sie nicht ständig das Passwort eintippen müssen, bleibt dieser Schlüsselbund nach Eingabe des Passwortes für eine gewisse Zeit geöffnet. Standardmäßig sind dies 5 Minuten, Sie können diesen Zeitraum aber auch im Menu unter „Bearbeiten“ beim Punkt „Einstellungen für Schlüsselbund '…' ändern“ festlegen.

Sie können sich auch zusätzlich warnen lassen, sobald ein Programm versucht, auf Ihren privaten Schlüssel zuzugreifen. Hierzu machen Sie einen Doppelklick auf ihren privaten Schlüssel, gehen im erscheinenden Fenster auf „Zugriff“ und wählen „Zugriff nur nach Warnung“. Sie können zudem Programme auswählen, die weiterhin ohne Warnung auf den privaten Schlüssel zugreifen dürfen.

Für ein Backup ihres privaten Schlüssels wählen Sie diesen an und gehen Sie im Menu unter „Ablage“ auf „Exportieren“. Hier können Sie nun einen Dateinamen angeben, als Format ist bereits „p12“ voreingestellt. Vor dem Speichern werden Sie nun nach einem Passwort gefragt, mit welchem der private Schlüssel zusätzlich gesichert werden soll. Hier sollten Sie ein möglichst sicheres Passwort wählen. Die nun gespeicherte Datei können Sie z.B. auf einem USB-Stick sichern, sei es als Backup oder auch, um den privaten Schlüssel noch auf einem anderen Rechner zu installieren. Wie bereits erwähnt müssen Sie im Gegensatz zum privaten Schlüssel Ihr Zertifikat nicht speziell schützen, da dieses ohnehin öffentlich ist – Sie können es ebenfalls wie beschrieben exportieren, wählen Sie hierbei aber das Format „.cer“, welches ohne zusätzlichen Passwort-Schutz arbeitet.