Mail-Zertifikate für Verschlüsselung und Signatur

Klaus Knopper

Die vorliegende Anleitung bezieht sich auf die Möglichkeit, offiziell von der DFN-PKI signierte Mailzertifikate für hs-kl.de Mailadressen zu erhalten.

Was können Sie mit einem Mailzertifikat anfangen?

Mit dem Mailzertifikat können Sie

Um anderen Personen verschlüsselte Mails verschicken zu können, benötigen Sie die Mailzertifikate der Empfänger, bzw. die Empfänger müssen ebenfalls ein Mailzertifikat beantragt haben (s.u.).

3 Schritte zum Zertifikat

  1. Firefox-Browser oder Internet Explorer starten. Achtung: Der "private" Schlüssel zum Zertifikat wird Browser-intern erzeugt, und kann nur mit diesem Browser an das Mailprogramm exportiert werden!
  2. Antragsformular ausfüllen auf der Webseite:
    https://pki.pca.dfn.de/rhrk-ca/fh-kaiserslautern.
    Das dort abgefragte Passwort (PIN) dient nur zum Import/Export des Schlüssels, bitte ein neues Passwort ausdenken und sicher verwahren, nicht das Passwort für die Anmeldung verwenden!
  3. Das nach dem Abschicken angebotene PDF herunterladen, unterschreiben, und unter Vorzeigen des Personalausweis oder Reisepass (!) persönlich beim Rechenzentrum vorbeibringen. *)

*) Dieser Aufwand ist u.a. deswegen erforderlich, da das Zertifikat als überprüfbare, rechtsgültige Unterschrift für E-Mail verwendet werden kann, den Benutzer also identifiziert, und daher genau wie beim Beantragen eines Personalausweis mit Lichtbild die Identitätsprüfung strikt vorgeschrieben ist. (Zuständig am Standort KL: Herr Hagspiel, am Standort ZW: Herr Blum)

Zertifikat importieren/exportieren

Nach persönlicher Abgabe des gedruckten Antrags (s.o.) erhalten Sie eine E-Mail mit dem "öffentlichen" Teil Ihres Zertifikats und einer Anleitung, wie dieses in den Browser importiert wird. Im Browser befindet sich bereits der private Schlüssel. Beides zusammen taucht in den Browser-Einstellungen unter "Erweitert" -> "Zertifikate" -> "Ihre Zertifikate" auf, und kann als Datei im Format PKCS12 exportiert werden (wofür beim Exportieren auch wieder ein Passwort gesetzt werden muss). Diese PKCS12 Datei (Endung .p12) mit Zertifikat und privatem Schlüssel kann dann in alle gewünschten Mailprogramme importiert werden.

Zertifkat verwenden

Mit dem Mailzertifikat kann eine Mail beim Abschicken signiert werden, wodurch der Absender sich eindeutig gegenüber dem Empfänger identifiziert. Der Empfänger erhält mit einer signierten E-Mail praktischerweise auch das öffentliche Zertifikat des Absenders, mit dem er dann wiederum Mail verschlüsselt an diesen senden kann.

Zeigt das Mailprogramm des Empfängers trotz korrekter, zur Mailadresse passender Unterschrift ein "Signatur ungültig" an, kann das CA-Zertifikat des Ausstellers Abhilfe bringen. Dies lässt sich einfach durch Anklicken importieren (muss nur einmalig passieren): https://pki.pca.dfn.de/rhrk-ca/pub/cacert/g_cacert_sha1.crt und https://pki.pca.dfn.de/rhrk-ca/pub/cacert/g_intermediatecacert_sha1.crt.

Um E-Mail an eine andere Person zu verschlüsseln, muss man von dieser also schon einmal eine signierte E-Mail empfangen haben. Der darin enthaltene öffentliche Schlüssel wird dann automatisch zum Verschlüsseln verwendet.