Einbinden von Zertifikaten in Mozilla Thunderbird · Zertifikat welches Sie über unsere Produkte „Softtoken“ und „Signaturkarte“ erhalten können. Wenn Sie eine Signaturkarte

Einbinden von Zertifikaten in Mozilla Thunderbird

Einbinden von Zertifikaten in Thunderbird

Seite - 1 - von 25

1. VORAUSSETZUNGEN

Thunderbird benötigt zum Signieren und Verschlüsseln von E-Mails ein fortgeschrittenes Zertifikat welches Sie über unsere Produkte „Softtoken“ und „Signaturkarte“ erhalten können. Wenn Sie eine Signaturkarte nutzen möchten, benötigen Sie zusätzlich einen Kartenleser und eine Middleware. Die Middleware agiert als Vermittler zwischen Thunderbird und der Signaturkarte. Über die nachfolgenden Grafiken wird beschrieben, wie Sie prüfen können, ob die Integration von Nexus in Mozilla Produkten aktiviert ist. Nehmen Sie einen Rechtsklick auf das Nexus Symbol in der Taskleiste vor und wählen Sie den Menüpunkt „Einstellungen“ an (siehe Abbildung 1).

Wechseln Sie in den Einstellungen in den Reiter „Webbrowser und Sprache“. Die Option „Personal in Mozilla-Software aktivieren“ wurde während der Installation aktiviert (Abbildung 2).



Seite - 2 - von 25

2. EINBINDUNG SIGNATURKARTE

Voraussetzung für die folgenden Schritte ist, dass der Kartenleser, sowie die Middleware auf Ihrem PC installiert wurden und die Signaturkarte am Kartenleser eingesteckt wurde. Im ersten Schritt müssen Sie in Ihren Kontoeinstellungen das Zertifikat hinterlegen, welches zur Signatur und Verschlüsselung verwendet werden soll. Hierzu rufen Sie über den Menüpunkt „Extras“ das Untermenü „Konten-Einstellungen“ auf (siehe folgende Abbildung).

Im Anschluss wechseln Sie zur Einstellung „S/MIME- Sicherheit“ und klicken die Schaltfläche „Auswählen“ an (siehe Abbildung).



Seite - 3 - von 25

Es werden ihn nun mögliche Zertifikate angeboten. Bei einer Signaturkarte wird immer das fortgeschrittene Zertifikat genutzt, da nur in diesem die bei der Beantragung angegebene E-Mail Adresse enthalten ist. Das fortgeschrittene Zertifikat trägt immer „Authentication Key“ im Namen. Sofern nicht korrekt vorgeschlagen, wählen Sie bitte das entsprechende Zertifikat aus

und Bestätigen Sie den Dialog anschließend mit der Schaltfläche „OK“ (siehe Abbildung).

Thunderbird fragt Sie nun, ob dieses Zertifikat auch zur Ver-und Entschlüsselung verwendet werden soll. Beantworten Sie diese Frage mit der Auswahl „Ja“ (siehe Abbildung).

Im Anschluss landen Sie in den Konten-Einstellung und können feststellen, dass Thunderbird das Zertifikat zur Signatur bzw. Ver- und Entschlüsselung eingetragen hat (siehe Abbildung).



Seite - 4 - von 25

Nun müssen Sie jedoch noch definieren, dass es sich hierbei um ein vertrauenswürdiges Zertifikat handelt. Hierzu wählen Sie die Schaltfläche „Zertifikate verwalten ...“ an und setzen die Einbindung an Punkt 4.1 der Anleitung fort.

Hinweis: Sofern Sie mehr als ein Postfach eingebunden haben, müssen Sie die Einstellungen im Postfach vornehmen, dessen E-Mail Adresse im Zertifikat hinterlegt wurde. Die E-Mail Adresse im Zertifikat kann nicht verändert werden, sofern hier keine Übereinstimmung vorhanden ist benötigen Sie eine „neue“ Signaturkarte.



Seite - 5 - von 25

3. EINBINDUNG SOFTTOKEN

Voraussetzung für die folgenden Schritte ist, dass Ihnen der von uns erworbene Softtoken sowie der Pin-Brief vorliegen. Um ein Zertifikat, welche in Dateiform vorliegt im Thunderbird einzubinden sind folgende Schritte erforderlich.

Einbindung der Containerdatei (P12 Datei) in den Zertifikatsspeicher von Thunderbird Hinterlegung des Zertifikate in den S/MIME Einstellungen Anpassen der Vertrauenseinstellungen der Ausstellerzertifikate

Nun hinterlegen wir das Zertifikat im Thunderbird-Zertifikatsspeicher. Hierzu wählen wir uns die Optionen „Einstellungen...“ unterhalb des Menüpunktes „Extras“ an (siehe Abbildung).



Seite - 6 - von 25

Navigieren Sie in die erweiterten Einstellungen und wählen Sie die Schaltfläche „Zertifikate“ unterhalb des Reiters „Zertifikate“ an (siehe Abbildung).

Wechseln Sie in den Reiter „Ihre Zertifikate“ des Zertifikats-Manager und wählen Sie dort die Schaltfläche „Importieren …“ an (siehe Abbildung)

Navigieren Sie nun an den Ablageort des Softtoken, welches Sie von uns per E-Mail erhalten haben.



Seite - 7 - von 25

Wählen Sie die P12 Datei an und klicken Sie auf die Schaltfläche „Öffnen“ (siehe Abbildung).

Sie werden nun von Thunderbird aufgefordert das Passwort für die P12 Datei einzugeben (siehe Abbildung).

Das Passwort können Sie Ihrem PIN-Brief entnehmen. Dort wird dieses Passwort als „PIN“ betitelt.



Seite - 8 - von 25

Abschließend erhalten Sie einen Hinweis, dass das Zertifikat erfolgreich importiert wurde. Diese Meldung können Sie wie in der folgenden Abbildung mit „OK“ bestätigen.

Nun wurde das Zertifikat erfolgreich im Zertifikatsspeicher von Thunderbird importiert. Jedoch wird dieses von Thunderbird noch nicht als vertrauenswürdig betrachtet. Was Sie durch Anwählen der Schaltfläche „Ansehen ..“ einsehen können (siehe folgende Abbildungen).



Seite - 9 - von 25

In dieser Abbildung sehen Sie zum einen, dass Thunderbird das Zertifikat nicht verifizieren kann, da es die Aussteller Zertifikate nicht kennt. Darüber hinaus ist in der Grafik unter dem Punkt „Ausgestellt von“ ersichtlich, mit welchem Zertifikat wir Ihr Zertifikat erzeugt haben.

Wie Sie die Aussteller Zertifikate in Thunderbird hinterlegen können und dessen Vertrauen anpassen wird im Punkt 4.2 dieser Anleitung beschrieben. Zunächst werden wir uns darum kümmern, dass das importierte Zertifikat in den S/MIME Einstellungen Ihres E-Mail Kontos hinterlegt wird.



Seite - 10 - von 25

Hierzu rufen Sie sich über den Menüpunkt „Extras“ das Untermenü „Konten-Einstellungen“ auf (siehe Abbildung).

Navigieren Sie in die „S/MIME“ Einstellungen und wählen Sie die Schaltfläche „Auswählen“ an (siehe Abbildung).



Seite - 11 - von 25

Thunderbird bietet Ihnen nun das importierte Zertifikat an. Ihnen wird in der Abbildung auch die E-Mail Adresse des Zertifikates dargestellt. Sofern Ihnen Thunderbird das korrekte Zertifikat vorschlägt betätigen Sie die Schaltfläche „OK“.

Thunderbird fragt Sie nun, ob dieses Zertifikat auch zur Ver- und Entschlüsselung verwendet werden soll. Beantworten Sie diese Frage mit der Auswahl „Ja“ (siehe Abbildung).



Seite - 12 - von 25

Im Anschluss landen Sie in den Konten-Einstellung und können feststellen, dass Thunderbird das Zertifikat zur Signatur bzw. Ver- und Entschlüsselung eingetragen hat (siehe Abbildung). Nun müssen Sie jedoch noch definieren, dass es sich hierbei um ein vertrauenswürdiges Zertifikat handelt. Hierzu setzen Sie die Einbindung an Punkt 4.2 der Anleitung fort.

Hinweis: Sofern Sie mehr als ein Postfach eingebunden haben, müssen Sie die Einstellungen im Postfach vornehmen, dessen E-Mail Adresse im Zertifikat hinterlegt wurde. Die E-Mail Adresse im Zertifikat kann nicht verändert werden, sofern hier keine Übereinstimmung vorhanden ist benötigen Sie ein „neues“ Zertifikat. 4. SIGNATURKARTE - VERTRAUEN AUSSTELLER ZERTIFIKATE ANPASSEN

Um das Vertrauen von Zertifikaten zu verändern müssen Sie sich den Zertifikats-Manager von Thunderbird aufrufen. Hierzu wählen wir uns die Optionen „Einstellungen..“ unterhalb des Menüpunktes „Extras“ an (siehe Abbildung).



Seite - 13 - von 25


Wechseln Sie in den Reiter „Ihre-Zertifikate“, wählen sie Ihr fortgeschrittenes Zertifikat an und klicken Sie auf die Schaltfläche „Ansehen…“ (siehe Abbildung). Das fortgeschrittene Zertifikat besitzt immer die kleine Seriennummer und wird daher immer als oberstes angeordnet.



Seite - 14 - von 25

Wählen sie sich den Reiter „Details“ an (siehe Abbildung).



Seite - 15 - von 25

Wie Sie der Abbildung entnehmen können kann Thunderbird das Zertifikat aktuell nicht verifizieren, da den Aussteller Zertifikaten nicht vertraut wird. In der folgenden Abbildung sehen Sie die Aussteller Zertifikate Ihrer Signaturkarte. Diese Aussteller Zertifikate sind nicht bei jeder Karte identisch. In unserem Beispiel handelt es sich um eine Testkarte, daher stammen die Aussteller aus unserer Test PKI. In Ihrer Ansicht werden die Zertifikate somit andere Bezeichnungen tragen.

Erklärung zum Verständnis: Das Vertrauen von Zertifikaten bildet in einer PKI (Publik Key Infrastructure) einen Baum. Das heißt ein „Root“ Zertifikat signiert sich selbst und bildet somit den oberen Eintrag des Baums. Dieses Root Zertifikat (Stammzertifizierungsstelle) kann andere Zertifikate signieren. Bei dehnen von der Root signierten Zertifikaten spricht man von Zwischenzertifizierungsstellen oder Sub Certificate Authorities. Diese Zwischenzertifizierungsstellen signieren wiederum ein Zertifikat (Enduser Zertifikat).



Seite - 16 - von 25

Das Zertifikat mit dem Namen „TEST D-TRUST Root CA 1“ist in der Abbildung die Stammzertifizierungsstellen. Das Zertifikat mit dem Namen „Test D-TRUST Advanced 2011 CA 1“ist in der Abbildung die Zwischenzertifizierungsstelle. Da die Aussteller Zertifikate auf unserer Karte hinterlegt sind und Sie eine Middleware installiert haben, wurden diese Zertifikate in den Zertifikatsspeicher importiert. Das bedeutet Thunderbird hat diese im Reiter „Zertifizierungsstellen“ hinterlegt. Sie können nun die Ansicht des Zertifikates durch betätigen der Schaltfläche „Schließen“ beenden. Im Anschluss wechseln Sie in den Reiter „Zertifizierungsstellen“ im Zertifikatsmanager und wählen sich das Zertifikat der „Zwischenzertifizierungsstelle“ an. Nun betätigen Sie die Schaltfläche „Vertrauen bearbeiten…“ (siehe Abbildung).

Wählen Sie die Option „Dieses Zertifikat kann Mail-Benutzer identifizieren.“ an und übernehmen Sie die Einstellungen mit „OK“ (siehe Abbildung).

Auch für die Stammzertifizierungsstelle müssen Sie das Vertrauen bearbeiten und analog zu den Einstellungen der Zwischenzertifizierungsstelle anpassen. Dieser Schritte wurde hier nicht separat mit Abbildungen versehen.



Seite - 17 - von 25

Wenn Sie sich abschließend erneut ihr Zertifikat aufrufen erhalten Sie die folgende Ansicht.

5. SOFTTOKEN - AUSSTELLER ZERTIFIKATE MANUELL IMPORTIEREN UND DAS

VERTRAUEN ANPASSEN

Voraussetzung für den folgenden Schritt ist, dass Sie sich von der Bundesdruckerei Webseite aus dem Support Bereich die Aussteller Zertifikate herunter laden und diese als Datei auf ihrem Rechner ablegen. In der Abbildung auf Seite 8 dieser Anleitung war ersichtlich, wie in unserem Beispiel der Name des Zertifikates lautet, welches die Zwischenzertifizierungsstelle darstellt. Die Aussteller Zertifikate sind nicht bei jedem Softtoken identisch. In unserem Beispiel handelt es sich um ein Test Gateway Zertifikat. In Ihrer Ansicht werden die Zertifikate somit andere Bezeichnungen tragen. Sofern noch nicht geschehen laden Sie sich bitte diese Zertifikat von unserer Webseite. Erklärung zum Verständnis:

Das Vertrauen von Zertifikaten bildet in einer PKI (Publik Key Infrastructure) einen Baum. Das heißt ein „Root“ Zertifikat signiert sich selbst und bildet somit den oberen Eintrag des Baums. Dieses Root Zertifikat (Stammzertifizierungsstelle) kann andere Zertifikate signieren. Bei dehnen von der Root signierten Zertifikaten spricht man von Zwischenzertifizierungsstellen oder Sub Certificate Authorities. Diese Zwischenzertifizierungsstellen signieren wiederum ein Zertifikat (Enduser Zertifikat). Nun hinterlegen wir die Aussteller Zertifikate im Thunderbird Zertifikatsspeicher. Hierzu rufen Sie sich über den Menüpunkt „Extras“ das Untermenü „Einstellungen…“ auf (siehe Abbildung).



Seite - 18 - von 25


Nun wird Ihnen der „Zertifikats-Manager“ des Thunderbird dargestellt. Navigieren Sie dort in den Reiter „Zertifizierungsstellen“ und wählen Sie die Schaltfläche „Importieren…“ an (siehe Abbildung).



Seite - 19 - von 25

Im nächsten Schritt importieren Sie das Zertifikat der Zwischenzertifizierungsstelle. Sofern noch nicht erfolgt sollten Sie spätestens jetzt das benötigte Zertifikat von der Bundesdruckerei Webseite aus dem Support Bereich herunterladen. In unserem Beispiel trägt dieses Zertifikat die Dateibezeichnung „CA-Test-D-TRUST-Advanced_2011_CA_1.cer“. Hierzu navigieren Sie an den Ablageort der Datei, wählen diese mit der Maus an und veranlassen den Import durch betätigen von „Öffnen“ (siehe Abbildung). Das Zertifikat der Zwischenzertifizierungsstellen wird bei Ihnen eine andere Bezeichnung tragen.



Seite - 20 - von 25

Als nächstes fragt Sie Thunderbird, in welchen Kontext Sie diesem Zertifikat vertrauen möchten. Sie wählen dort die Option „Dieser CA vertrauen, um E-Mail-Nutzer zu identifizieren“ aus und bestätigen dieses mit der Schaltfläche „OK“ (siehe Abbildung).

Nun sehen wir uns das Zertifikat der Zwischenzertifizierungsstelle an und heraus zu bekommen, welches Zertifikat die Stammzertifizierungsstelle darstellt. Hierzu wählen Sie sich im Zertifikats-Manager das Zertifikat an und wählen die Schaltfläche „Ansehen..“ an (siehe Abbildung).

Sie werden feststellen, dass dieses Zertifikat aktuell nicht verifiziert werden kann. Darüber hinaus sehen Sie jedoch, welches Zertifikat dieses ausgestellt hat.



Seite - 21 - von 25

Die Bezeichnung des Aussteller Zertifikates finden Sie in der Darstellung unterhalb von „Ausgestellt von“. Merken Sie sich die Bezeichnung und laden Sie das bei Ihnen genannte Zertifikat von der Bundesdruckerei Webseite aus dem Support Bereich herunter. Hierbei handelt es sich dann um das Zertifikat der Stammzertifizierungsstelle. Die Ansicht des Zertifikates können Sie dann über die Schaltfläche „Schließen“ beenden.

Nun importieren Sie das Zertifikat der Stammzertifizierungsstelle. Hierzu wählen Sie sich im Reiter „Zertifizierungsstellen“ erneut die Schaltfläche „Importieren…“ an (siehe Abbildung).



Seite - 22 - von 25

Navigieren Sie an den Ablageort des Zertifikates der Stammzertifizierungsstelle. Wählen Sie sich die Zertifikatsdatei an und beginnen Sie den Import durch betätigen von „Öffnen“.

Als nächstes Fragt Sie Thunderbird, in welchen Kontext Sie diesem Zertifikat vertrauen möchten. Sie wählen dort die Option „Dieser CA vertrauen, um E-Mail-Nutzer zu identifizieren“ aus und bestätigen dieses mit der Schaltfläche „OK“ (siehe Abbildung).



Seite - 23 - von 25

Alle notwendigen Zertifikate sind jetzt im Thunderbird importiert und werden als vertrauenswürdig betrachtet. Dieses können Sie nachvollziehen, indem Sie im Reiter „Ihre Zertifikate“ Ihr Zertifikat anwählen und auf die Schaltfläche „Ansehen“ klicken.



Seite - 24 - von 25

In der Ansicht Ihres Zertifikates (siehe folgende Abbildung) können Sie nun den Satz „Dieses Zertifikat wurde für folgende Verwendungen verifiziert:..“ lesen. Damit teilt Ihnen Thunderbird mit, dass das Zertifikat für die genannten Verwendungen als vertrauenswürdig betrachtet wird.



Seite - 25 - von 25

6. E-MAILS SIGNIEREN / VERSCHLÜSSELN

Um E-Mails im Thunderbird zu signieren oder zu verschlüsseln gibt es im Editor der E-Mail die Option „S/MIME“. Über diese können Sie beim Verfassen einer Nachricht definieren, ob diese signiert (Nachricht unterschreiben) oder verschlüsselt (Nachricht verschlüsseln) werden soll. In unserem Beispiel haben wir beide Optionen angewählt. Erst nach dem betätigen der Schaltfläche „Senden“ wird bei einer Signaturkarte die Card-PIN der Karten über den Kartenleser abgefragt. Bei einem Softtoken hingegen wird die PIN nicht verlangt, da Sie diese bereits beim Importieren eingegeben haben.

Hinweis: Bitte beachten Sie, dass eine Verschlüsselung von E-Mails nur dann möglich ist, wenn Sie das Zertifikat Ihres Empfängers besitzen. Sofern Sie mehr als ein Postfach im Thunderbird eingebunden haben, muss das Postfach gewählt werden, zu dem Sie ein Zertifikat besitzen. Anderenfalls wird es zu Störungsmeldungen kommen. Vielen Dank für Ihre Aufmerksamkeit. Vorschläge zur Optimierung dieser Anleitung richten Sie bitte an unseren [email protected]

Documents

Einbinden von Zertifikaten in Mozilla Thunderbird · Zertifikat welches Sie über unsere Produkte „Softtoken“ und „Signaturkarte“ erhalten können. Wenn Sie eine Signaturkarte