Warum ist es wichtig, ein E-Mail Zertifikat zu nutzen, und wie mache ich das?
© s&h 2013
Teil 1: Beschaffen und Exportieren eines kostenlosen Zertifikats
Woher bekommt man ein Zertifikat und was kostet es?
Ein Anbieter, der diese Zertifikate für die private Nutzung kostenfrei anbietet, ist Comodo mit seinem Angebot: Free Secure Email Certificate.
Wieso kann Comodo ein Zertifikat kostenlos anbieten?
Comodo ist eine Zertifizierungsstelle (CA, Certification Authority), d.h. eine Stelle, die Zertifikate erstellen und beglaubigen kann und als sicher eingestuft wird. Die kostenlosen Zertifikate beglaubigen eine Email-Adresse. Der Aufwand von Comodo für die Erzeugung dieses Zertifikats ist sehr gering, da kein aufwändiges Prüfungsverfahren notwendig ist. Der Inhaber einer Emailadresse wird nur per Email geprüft, indem das Zertifikat an die zu zertifizierende Emailadresse gesendet wird. Alle Aufgaben sind von Comodo elektronisch durchführbar.
Zwar beglaubigt dieses Verfahren nicht eine Person als solche, reicht aber für die Sicherung einer Emailadresse und daher für viele Zwecke vollkommen aus.
Die Zertifikatserstellung ist einfach. Man gibt seinen Vor- und Nachnamen, sowie seine E-Mailadresse ein. Außerdem braucht man noch das sog. Revocation Passwort. Dieses wird gebraucht, um das Zertifikat bei Comodo als unsicher zu kennzeichnen, sollte der private Schlüssel abhanden gekommen sein. Dieses Passwort sollten sie gut aufbewahren, denn sonst können sie ein Zertifikat nicht vor dem eingetragenen Datum als ungültig kennzeichen.
Bei der Auswahl ‚Privat Key Options‘ stellen sie ein, wie lang die verwendeten Schlüssel sein sollen. Verwenden sie hier ruhig ‚hochgradig‘.
Hat man alle Felder ausgefüllt und das Formular abgesendet, wird im Normalfall eine Erfolgsmeldung angezeigt, die besagt, dass alles ordnungsgemäß abgelaufen ist.
Sie erhalten nach wenigen Minuten eine E-Mail mit einem Link und einem Passwort zu ihrem Zertifikat an die angegebene Emailadresse. Das ist auch gleich die Validierung der angegebenen Daten, so können sie das Zertifikat nur für eine Emailadresse erstellen, deren Inhaber sie sind.
Sie können das Zertifikat nun abrufen.
Das Zertifikat wird, wenn man den Link im Firefox oder Internet Explorer öffnet, leider nicht heruntergeladen, sondern in der Zertifikatsverwaltung von Firefox/IE gespeichert.
Wie im Hinweis angegeben ist es sehr sinnvoll, das Zertifikat und den privaten Schlüssel auf ein externes Medium zu sichern, da z.B. bei einem Festplattencrash diese Daten verloren gehen könnten und das Zertifikat dann unbrauchbar ist. Dies würde z.B. bedeuten, dass sie Emails, die verschlüsselt an sie gesendet wurden, nicht mehr lesen können. Wie das mit Windows und Firefox funktioniert, sehen sie im folgenden Abschnitt.
Verwendung des Zertifikats auf mehreren Geräten
Der Einsatz eines Zertifikats basiert auf der asymmetrischen Verschlüsselung. Dabei kommen zwei Schlüssel zu Einsatz. Was mit dem einen Schlüssel verschlüsselt wird, kann mit dem jeweils anderen Schlüssel entschlüsselt werden. Das funktioniert in beide Richtungen. Ein Schlüssel, der private Schlüssel, bleibt beim Zertifikatsbesitzer. Nur er hat diesen Schlüssel und darf ihn niemals verlieren oder weiter geben. Der andere Schlüssel ist öffentlich, jeder kann ihn besitzen und damit verschlüsselte Emails des Zertifikatsbesitzers entschlüsseln. Dieser Schlüssel ist auch im Zertifikat selber gespeichert.
Der Zertifikatsbesitzer muss also auf jedem Gerät, auf dem er das Zertifikat einsetzen will, auch den geheimen privaten Schlüssel vorhalten.
Da das Comodo-Zertifikat direkt im Zertifikatspeicher abgelegt wurde, muss es erst einmal exportiert werden.
Export mit Firefox
Öffnen sie in Firefox Extras->Einstellungen.
Sie finden im neuen Fenster unter Erweitert im Reiter Zertifikate die Zertifikatsverwaltung.
Klicken sie auf Zertifikate anzeigen. Es öffnet sich der Zertifikatmanager.
Hier können sie alle installierten Zertifikate sehen. Klicken sie das Zertifikat an und klicken sie dann auf Sichern.
Wählen sie den Speicherort aus. Dann müssen sie ein Passwort eingeben, mit dem die Zertifikatsdatei verschlüsselt wird. Wählen sie ein sicheres Passwort. Die Qualität können sie unten im Balken ablesen.
Nach der erfolgreichen Speicherung erhalten sie eine entsprechende Meldung. Wie sie sehen wurden das Zertifikat und der zugehörige private Schlüssel gespeichert.
Mit dieser Datei können sie im Anschluss das Zertifikat und den privaten Schlüssel auf anderen Geräten installieren.
Export mit Internet Explorer
Öffnen sie im Internet Explorer Extras->Internetoptionen.
Öffnen Sie den Reiter Inhalte. Sie finden den Zugang zum Zertifikatbereich.
Klicken Sie auf den Knopf Zertifikate und SIe kommen zum Zertifikatspeicher.
Der Zertifikatspeicher besteht aus 4 Containern, die unterschiedliche Zertifikatsgruppen aufnehmen.
Im Container Eigene Zertifikate werden Ihre Zertifikate gespeichert, zu denen Sie auch den passenden privaten Schlüssel besitzen.
Im Container Andere Personen werden Zertifikate von den Personen gespeichert, von denen Sie ein Zertifikat, aber natürlich keinen privaten Schlüssel besitzen, also auch verschlüsselt kommunizieren können.
Im Container Zwischenzertifizierungsstellen liegen Zertifikate von Stellen, die von Root-Zertifizierungsstellen ermächtigt wurden, Zertifikate zu beglaubigen.
Im Container Vertrauenswürdige Herausgeber sind die Zertifikate von Root-CA's gespeichert.
Im Container Vertrauenswürdige Herausgeber liegen Zertifikate von Herausgebern, die Sie selber als
vertrauenswürdig gekennzeichnet haben.
Im Container Nicht vertrauenswürdige Herausgeber sind ungültige CA-Zertifikate gespeichert. Zertifikate, die mit
diesen Zertifikaten beglaubigt wurden, sind nicht mehr vertrauenswürdig, obwohl ihr Ablaufdatum noch nicht erreicht wurde. Dies kann geschehen, wenn z.B. der private Schlüssel des Herausgebers
gestohlen oder verloren wurde.
Öffnen Sie nun wieder den Container für eigene Zertifikate, wählen Sie das zu sichernde Zertifikat aus und klicken Sie auf
Exportieren.
Es startet der Zertifikatexport-Assistent, der Sie beim Export unterstützt. Klicken Sie auf Weiter.
Es soll das Zertifikat und der zugehörige private Schlüssel gesichert werden, wählen Sie den entsprechenden Punkt aus.
Es ist günstig, alle Zertifikate im gesamten Zertifikatspfad mit zu exportieren, so ist es später möglich, alles auf einmal wieder in installieren. Weiterhin sollten Sie alle erweiterten Eigenschaften des Zertifikats mit exortieren. Wählen Sie die entsprechenden Punkte aus. Klicken Sie anscchließend auf Weiter.
Da in der erzeugten Datei auch der geheime Schlüssel enthalten ist, ist es sinnvoll sie zu verschlüsseln. Verwenden Sie ein sicheres Passswort (mindestens 10 Zeichen, Groß- und Kleinbuchsteben, Zahlen und Sonderzeichen!). Klicken Sie anschließend auf Weiter.
Zuletzt werden alle Eingaben noch einmal vom Assistenten zusammenfassend angezeigt, Klicken Sie auf Fertig Stellen.
Wenn der Export erfolgreich war, erhalten Sie eine entsprechende Meldung.