[erledigt] X509-Zertifikat in KMail?

Hallo Leute,

mein Problem ist vielleicht zweigleisig.

Ich habe bei TrustCenter (Hamburg) mir ein Zertifikat holen können. Gut. Allerdings musste ich mir über Umwege das Zertifikat herunterladen und konnte es in Kleopatra über den tmp(!)-Ordner unter andere Zertifikate importieren. Wie bekomme ich es jetzt in KMail? Dazu muss ich doch Kleo davon überzeugen, dass der Import mein eigenes Zertifikat ist. Oder?

Denkfehler?

wilux

wilux schrieb:

Denkfehler?

Zum Vergrößern anklicken....

Ja.

... über Umwege ...
Hier gibt es keine Umwege.
Die Kryptoengine deines Browsers (und niemand anderes!) generiert nach Auforderung durch den Server beim Trustcenter einen geheimen Schlüssel und speichert ihn in dem ihm zugeordneten Krypto-Speicher. Das kann der des Betriebssystems (Kleopatra) oder auch der des Firefox usw. sein. Dann wird aus dem geheimen Schlüssel der öffentliche errechnet. Dieser und nur dieser (!) wird zusammen mit den Zertifikatsdaten (Name, Mailadresse und evtl. noch einige mehr) an den Server übertragen. Das nennt sich "Zertifikatsrequest". Aus diesem Zertifikatsrequest generiert der Server des TC das Zertifikat, signiert dieses und schickt es an den Client zurück, wo es im Krypto-Speicher gespeichert wird.
Von all dem merkt der Nutzer recht wenig. Und "Umwege" vermeiden kannst du bei dem Verfahren nicht, um die Sicherheit nicht zu gefährden. Nur somit wird garantiert, dass der private Schlüssel nicht den Client verlässt.

Jetzt sind im Krypto-Speicher das Zertifikat und der private Schlüssel getrennt gespeichert. Unabhängig, ob das Anwendungsprogramm auf den Krypto-Speicher direkt zugreifen kann oder wie die Mozillaprodukte eigene Krypto-Speicher benutzen, solltest du sofort eine Sicherung der Schlüssel vornehmen und diese extern speichern.
- Export Zertifikat mit privatem Schlüssel ==> ergibt "Schlüsseldatei" (.pfx oder .p12, auch .pem ist möglich. => Passwort zum Schutz!
- Export Zertifikat ohne privatem Schlüssel ==> ergibt "Zertifikat" (.cer, .der, oder auch pem sind üblich) => kein Passwort

Das Zertifikat kannst du frei verteilen, in der Regel sind diese auch beim Trustcenter durch jedermann abrufbar.

Die Schlüsseldatei importierst du im Anwendungsprogramm unter "Eigene" oder "Ihre" Zertifikate. Jedes Programm erkennt, dass es sich auch um den privaten Schlüssel handelt. Die der anderen eben unter "Personen" oder "Andere" usw.

Wichtig ist, dass du auch die Herausgeberzertifikate des Trustcenters vorher importiert hast, sonst geht nix. Und zwar die richtigen Zertifikate, deren private-Key dein Zertifikat signiert hat.

Aber all das steht auch in meinem Beitrag im Thunderbird-Forum ... .

MfG Peter

O. k., ich setz mich mal morgen(?) wieder dran. Jetzt hat Kopp dicht.

Danke Dir.

wilux

Nur kurz Zwischengefragt: Kanne es sein, dass Kleopatra, weshalb auch immer, mit X509-Zertifikaten nicht richtig umgehen kann?

wilux

Frag die Dame doch einfach mal ... .

Hast du Beweise für diese Anschuldigung?
Fehlermeldungen? Sonstige Effekte?
Oder könnte es sich - gaaaanz vorsichtig gefragt - lediglich um einen Level-8-Fehler handeln?

MfG Peter

Wie soll ich die Dame fragen???

Anschuldigung? Tststs. Ich habe zwar mal versucht, meine PEM-Datei von trustcenter.de in Kleo zu installieren, was aber nicht klappte? Es wurde nicht verarbeitet ... Gut, muss nichts heißen ...

Sorry aber meine Suche nach Level-8-Fehler hat nichts ergeben ...

Im ganzen war es auch nur zwischengefragt.

wilux

P.s.: Hat es was zu bedeuten, wenn Kleopatra das root-Zertifikat nicht frisst?

Das würde ich so werten, dass das Herausgeberzertifikat bereits importiert ist.

Wichtig ist, dass exakt das richtige Herausgeberzertifikat installiert sein muss, bevor das Nutzerzertifikat installiert werden kann. Entweder den Namen des H.-Zert. exakt mit dem im Zertifikat angegebenen vergleichen, oder sogar den Fingerabdruck.

Gut, versuch's ich von hier aus. Ich habe mir auf Trustcenter.de das "TC TrustCenter Class 1"-Zertifikat heruntergeladen.

Das war doch richtig, odeeeeer?

wilux

Natürlich ist das richtig. Jedenfalls im Prinzip.
Nochmal: Dein eigenes Zertifikat öffnen, exakt prüfen, welche(s) Herausgeberzeitifika(e) darin angegeben ist/sind, und exakt diese downloaden und installieren.

Oder, du sparst dir das, und installierst einfach alle Zertifikate dieses Trustcenters. Schaden kann das keinesfalls. Und wichtig ist, dass all diese Herausgeberzertifikate auch wirklich unter "Herausgeber" (oder wie das im jeweiligen Programm heißt) importiert werden, und dass das Vertrauen in diese Zertifikate eingestellt wird, was bei einigen Programmen wie denen von Mozilla, möglich und erforderlich ist.

MfG Peter

Jetzt erst mal Danke für Deine geduldige Unterstützung.

Jetzt ist auch mir aufgegangen, dass mir nur noch das passende root-Zertifikat fehlt, damit ich mein eigenes nutzen kann.

Ich werd mal die anmailen. Die wissen bestimmt weiter.

wilux

Warum befolgst du nicht meinen Rat, und importierst einfach alle Zertifikate dieses Trustcenters?
Du gehst doch dabei keinerlei Risiko ein! Und schneller als eine Anfrage und das Warten darauf ist es allemal.
(Und dass die dortigen Kollegen sagen, "kann der nicht mal richtig im Zertifikat nachsehen ...", sparst du dir auch.)

MfG Peter

Grrmphh, vermutlich hast Du Recht. Sollte ich bis morgen Abend keine Antwort haben, tu ich's. Mein Grrrmph kommt von meinem Tick her, auf meinem Rechner nur das zu installieren, was ich brauche. Hat nichts mit Dir zu tun.

wilux

Ich kann deinen Tick gut verstehen. Das ist (auf Produktivsystemen) mein Grundsatz seit 30 Jahren ... .
Aber bei Herausgeberzertifikaten eines akkreditierten Trustcenters total unangebracht.

Was bedeutet so ein Herausgeberzertifikat?
Es bedeutet nicht anderes, als dass du vertraust, dass dieser Herausgeber
- Personen gemäß der in den jeweiligen Ländern geltenden Signaturgeetze identifiziert (Zertifikat = ein el. Identifikationsdokument!!!)
- dass die Produktion der Zertifikate nach den dafür geltenden Regeln erfolgt (wieder Signaturgesetze und sehr strenge Regeln der IT-Sicherheit)
- dass die infrastruktuerellen Gegebenheiten den hohen Kriterien eines Trustcenters genügen (nimmt sich nicht viel von denen für das Rechenzentrum einer Bank)

Da du als Anwender das kaum prüfen kannst, nehmen dir das die Herausgeber der jeweiligen Browser und Mailclients ab. Deshalb hast du dort Dutzende von Trustcenter dort eingetragen (mit denen du kaum jemals Kontakt haben wirst ...)

==> Du kannst also bei einem Zertifikat eines der dort eingetragenen Herausgeber vertrauen, dass der im Zertifikat eingetragene Nutzer authentisch ist, denn seine Authentizität wurde nachweislich anhand amtlicher Dokumente (Perso) überprüft.


Nicht enthalten sind aber "von Hause aus" die Zertifikate, mit denen die Trustcenter die beliebten "Kostnix-Zertifikate" signieren.
Diese Zertifikate werden ohne die kleinste Identitätsprüfung herausgegeben. (Die Mailadresse kann der Nutzer ja frei wählen ...) Sie sind zum einen ein echt guter Werbeträger für das TC, aber sie sind zur reinen Mailverschlüsselung genau so gut verwendbar, wie ein richtiges Zertifikat für die fortgeschrittene Signatur nach Personenidentifizierung. Kryptologisch sind sie identisch.
Und für die Echtheitsprüfung unter Bekannten kann man ja vorher den Fingerprint überprüfen (oder auf der eigenen Webseite veröffentlichen).

Aber: Die Herausgeberzertifikate für derartige Nutzerzertifikate (auch Class 1 genannt) müssen immer manuell importiert werden, denn: siehe oben. Der Nutzer muss wissen, dass die o.g. Bedingungen nicht zutreffen und den Import bewusst durchführen.
Lediglich hier ist ein gesundes Maß an Misstrauen angebracht.


MfG Peter

Jau inzwischen alle(!) Zertifikate installliert. Geht noch immer nicht.

Ein freundliche Herr von denen, hat mir zwar eine kurze Antwort geschrieben und mich darauf aufmerksam gemacht, dass ich zwei Zertifikate brauche aber eines scheint doch zu fehlen.

Jetzt wird es spannend. Ich habe mit denen gesprochen und denen mein Leid geklagt gg und einer von denen soll sich bei mir melden ...

Schon lange nicht mehr so PC-doof gewesen.

wilux

Das verrückte an der Sache ist, dass es mit TB klappt. Aber noch will ich nicht mit TB arbeiten. Mag irgendwie KMail.

wilux

Ja, und ich mag Thunderbird ... . Vielleicht gerade deswegen.

Was konkret funktioniert denn noch nicht?
- das Entschlüsseln, oder
- das Signieren?

Das Importieren der Zertifikate ist ja nur das eine. Irgendwie musst du auch dem Konto mitteilen, dass es eben dieses Nutzerzertifikat für das Entschlüsseln und/oder das Signieren verwenden soll.
[Frag mich jetzt nicht, wie das bei KMail einzustellen ist. Habe bislang vermieden, dort ein Konto einzurichten.]


5 Minuten später:
- Konto in KMail eingerichtet
- ein paar Zertifikate installiert
- funktioniert

Das Zuweisen der eigenen Schlüssel erfolgt über die Einstellungen der "Identitäten" (ist ja auch logisch).

MfG Peter

Du glücklicher, es funktioniert ... Naja, woran es liegen mag. Aber ich behaupte mal, dass ich das Zertifikat in KMail genau so eingerichtet habe wie Du. KMail findet ja das Zertifikat. Nach dem Anklicken wird das Zertifikat rot "geixt". Naja, mal schaun.

Dir schon mal schönes Wochenende.

wilux