Die vorliegende Anleitung bezieht sich auf die Möglichkeit, offiziell von der DFN-PKI signierte Mailzertifikate für hs-kl.de Mailadressen zu erhalten.
Um anderen Personen verschlüsselte Mails verschicken zu können, benötigen Sie die Mailzertifikate der Empfänger, bzw. die Empfänger müssen ebenfalls ein Mailzertifikat beantragt haben (s.u.).
*) Dieser Aufwand ist u.a. deswegen erforderlich, da das Zertifikat als überprüfbare, rechtsgültige Unterschrift für E-Mail verwendet werden kann, den Benutzer also identifiziert, und daher genau wie beim Beantragen eines Personalausweis mit Lichtbild die Identitätsprüfung strikt vorgeschrieben ist. (Zuständig am Standort KL: Herr Hagspiel, am Standort ZW: Herr Blum)
Nach persönlicher Abgabe des gedruckten Antrags (s.o.) erhalten Sie eine E-Mail mit dem "öffentlichen" Teil Ihres Zertifikats und einer Anleitung, wie dieses in den Browser importiert wird. Im Browser befindet sich bereits der private Schlüssel. Beides zusammen taucht in den Browser-Einstellungen unter "Erweitert" -> "Zertifikate" -> "Ihre Zertifikate" auf, und kann als Datei im Format PKCS12 exportiert werden (wofür beim Exportieren auch wieder ein Passwort gesetzt werden muss). Diese PKCS12 Datei (Endung .p12) mit Zertifikat und privatem Schlüssel kann dann in alle gewünschten Mailprogramme importiert werden.
Mit dem Mailzertifikat kann eine Mail beim Abschicken signiert werden, wodurch der Absender sich eindeutig gegenüber dem Empfänger identifiziert. Der Empfänger erhält mit einer signierten E-Mail praktischerweise auch das öffentliche Zertifikat des Absenders, mit dem er dann wiederum Mail verschlüsselt an diesen senden kann.
Zeigt das Mailprogramm des Empfängers trotz korrekter, zur Mailadresse passender Unterschrift ein "Signatur ungültig" an, kann das CA-Zertifikat des Ausstellers Abhilfe bringen. Dies lässt sich einfach durch Anklicken importieren (muss nur einmalig passieren): https://pki.pca.dfn.de/rhrk-ca/pub/cacert/g_cacert_sha1.crt und https://pki.pca.dfn.de/rhrk-ca/pub/cacert/g_intermediatecacert_sha1.crt.
Um E-Mail an eine andere Person zu verschlüsseln, muss man von dieser also schon einmal eine signierte E-Mail empfangen haben. Der darin enthaltene öffentliche Schlüssel wird dann automatisch zum Verschlüsseln verwendet.