• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

K-Mail mit S/MIME

F

fhihu

Member
Hallo Miteinander,

ich bin auf ein kleines Problem gestoßen. Und zwar habe ich in KMail ein openPGP Schlüsselpaar erstellt , auch bei dem anderen Kommunikationspartner, und kann nun verschlüsselt kommunizieren.

Ich kann auch auf meinem zweiten Computer den Private Key Schlüssel verwenden, dazu muss ich ihn exportieren und auf dem anderen Computer hinzufügen. Es handelt sich dabei um eine Datei mit Endung *.asc. Importieren funtkioniert einwandfrei,

Jetzt wollte auf einmal jemand mit mir mTLS verschlüsselt kommunzieren und ich habe nun ein bisschen recherchiert, was nicht das erhoffte Ergebnis gebracht hat.

Ich hab rausgefunden, dass es wie TLS ist aber mit Zertifikat der Website. Also ich habe ich von meiner Website das Let's Encrypt Zertifikat exportiert, welches ein Zertifikat und einen private Key enthält. Ich habe 2 Dateien erhalten. Eine mit Endung *.ca (Öffentliches Zertifikat), welches aber 3 Signaturblöcke enthält.

Daneben habe ich noch Datei erhalten mit der Endung *.key, welche einen Keyblock enthält. So gut.

Nun hätte ich mir vorgestellt, dass ich diese *.key Datei in Kleopatra importieren und dann bei Kmail --> Kryptographie --> S/MIME auswähle. Leider kommt bei Kleopatra die Meldung "Invalid Crypto Engine". Ich habe im Internet ein bisschen recherchiert und gelesen, dass man angeblich eine Datei mit Endung *.p12 erhält.

Habe ich nun die falsche Datei? Weiß zufällig jemand, wie ich diesen Schlüssel importieren muss, damit ich es in Kmail auswählen kann?

Lieben Gruß und vielen Dank
 
B

BeastXXL

Hacker
Hallo,

ich bin absolut kein Fachmann, aber ich hatte mich vor Kurzem intensiv in die gpg-Schlüsselerstellung eingelesen und weiß daher, dass gute/hilfreiche Webseiten teilw. erst nach längerer Suche gefunden werden.
Folgendes könnte dir helfen (falls du es nicht schon selbst gefunden hast):
Fehlende tag-lines:https://dev.gnupg.org/T4379
Der Import in KMail:https://forum.ubuntuusers.de/topic/...rtifikat-in-kmail/?highlight=smim#post-366640
Das Konvertieren (in .p12 mit openssl):https://help.rapidsslonline.com/sup...convert-digicert-s-mime-to-pkcs-12-pfx-format und https://www.misterpki.com/pkcs12/
Generelle Arbeiten mit mTLS und Konvertierung in .pem (siehe Punkt 5.4):https://www.golinuxcloud.com/mutual-tls-authentication-mtls/

Hier hört mein Wissen auf und die Profis müssen übernehmen.
 
Gräfin Klara

Gräfin Klara

Hacker
fhihu schrieb:
..
. Ich habe 2 Dateien erhalten. Eine mit Endung *.ca (Öffentliches Zertifikat)
...mit der Endung *.key

Nun hätte ich mir vorgestellt, dass ich diese *.key Datei in Kleopatra importieren
Zum Vergrößern anklicken....
Das wird so nicht funktionieren.
ca ist deine Certificate Authority, key der Schlüssel dazu. Wahrscheinlich RSA.
Das ist das Werkzeug zum Erstellen eines Zertifikats, das dann in den client importiert wird.
fhihu schrieb:
... dass man angeblich eine Datei mit Endung *.p12 erhält.
Zum Vergrößern anklicken....
Das Zertifikat kann verschiedene Formate annnehmen.
p12 ist ein binäres PFX bzw. PKCS#12 Format.
Also z.B.
# openssl pkcs12 .... -out certificate.p12

Weiters ist es nicht sicher, ob dein CA "mail" überhaupt kann.
Deshalb vorher prüfen, z.B. mit openssl.
Zertifikate können nämlich vom Aussteller, also der Certificate Root Authority.
einer Aufgabe zugeteilt werden. In deinem Fall bin ich mir ziemlich sicher, dass
sich dein ca auf "Webserver" beschränkt und "Mail" gar nicht unterstützt.

Gruß
Gräfin Klara
 
S

stka

Guru
BTW. kostenfreie S/MIME Zertifikate gibt es hier:
https://www.dgn.de/dgncert/index.html
Nutze ich selber seit nunmehr drei Jahren. Musst zwar das Zertifikat jedes Jahr erneuern, aber ich habe einfach alle Zertifikate immer im Thunderbird, so dass ich alte Mails auch noch entschlüsseln kann.
 
OP
F

fhihu

Member
Hallo miteinander, pardon für die späte Rückmeldung.

@BeastXXL: Vielen Dank für die ausführliche Recherche, hat mir extrem gut weiter geholfen :D

ich habe nun auch feststellen müssen, dass Lets Encrypt nicht dazu geeignet ist E-Mails zu verifizieren und zu verschlüsseln.

Ich habe mich soeben weiter schlau gemacht und es scheint tatsächlich so zu sein, dass man ein solches Zertifikat erwerben muss. Das Angebot von DGNcert richtet sich augenscheinlich nur an deutsche Bürger und kann ich in Österreich eher nicht nutzen. Ich habe aber nun ein Zertifikat von DigiCert organisiert, das kostet um die 12 Euro im Jahr. Ist jetzt nicht kostenlos, aber Sicherheit sollte einem ja was wert sein. Man muss seine E-Mail eingeben und dann bestätigen. Das Zertifikat wird anschließend direkt im Browser erstellt, sodass die Zertifizierungsstelle nicht den Private Key erhält.

Dann erhält man per Email folgende Dateien:
* DigiCertCA.crt
* TrustedRoot.crt
* email.crt sowie
* email.p7b

und im Browser kann man folgende Dateien herunterladen:

* email.crt
* email.key
* email.p12
* email.pfx

Soweit so gut. Nur habe ich leider immer noch nicht herausfinden können wie der Schlüssel und das Zertifikat installiert werden müssen.

Ich habe es mit dem Frontent Kleopatra versucht, dort erhalte ich aber immer die Meldung:

Code: 
An error occured while trying to import the certificate email.p12.
Invalid object.

Lediglich diese email.cert Datei lässt sich importieren, aber die ist glaub die falsche, weil die keine Schlüssel enthält, sondern nur die Validierung der email Adresse.

Ich habe dann auch versucht die .p12 Datei mit SSL in eine .pem Datei umzuwandeln, leider hat sich auch nicht das erhoffte Ergebnis eingestellt.

In Thunderbird hat der Import leider auch nicht funktioniert.

Weiß jemand, wie ich die Datei importieren kann bzw. welche Datei ich nun benötige.

NACHTRAG: So ich habe es nun geschafft zu importieren.

Ich bin im Wesentlichen nach dieser Anleitung vorgegangen.

https://www.mew.org/en/feature/smime.html

Allerdings kamen bei mir ein paar Fehlermeldungen.

Zuerst werden diese Befehle benötigt.

1)
Code: 
openssl pkcs12 -in keycert.p12 -out keycert.pem -nodes

2)
Code: 
openssl pkcs12 -in keycert.pem -export -out key.p12 -nocerts -nodes

Dann habe ich versucht mit diesem Befehl zu importieren, aber bedauerlicherweise eine Fehlermeldung erhalten.

3)
Code: 
hihu@linux-d3gt:~/cert> gpgsm --import key.p12
gpgsm: total number processed: 1
gpgsm:       secret keys read: 1
gpgsm:  secret keys unchanged: 1

Zuerst müssen nämlich die Zertifikate installiert werden, also entweder wie in der verlinkten Anleitung beschrieben die Zertifikate zu separieren und installieren.

Ich habe einfach versucht die Pem Datei zu importieren und den folgenden Fehler erhalten, aber irgendwie hats dann funktioniert und der secret key war importiert (kann mit "gpgsm --list-secret-keys" geprüft werden).

Code: 
hihu@linux-d3gt:~/cert> gpgsm --import keycert.pem
gpgsm: no issuer found in certificate
gpgsm: basic certificate checks failed - not imported
gpgsm: no issuer found in certificate
gpgsm: basic certificate checks failed - not imported
gpgsm: ksba_cert_hash failed: No value
gpgsm: total number processed: 3
gpgsm:               imported: 1
gpgsm:           not imported: 2

Hoffe die Anleitung hilft auch anderen in Zukunft weiter.

Jetzt müsste ich nur noch rausfinden wie man bei Kmail dynamisch zwishen PGP und SMime bei jedem E-Mail wechselt, sprich dass man vor versenden einstellen kann, ob es mit der einen oder anderen Verschlüsselungsmethode verschlüsselt wird? Im Hauptmenü lässt sich soweit ich gesehen habe nur eine Einstellung fix vornehmen.

Vielen lieben Dank und einen schönen Gruß

fhihu
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben