Warum ist es wichtig, ein E-Mail Zertifikat zu nutzen, und wie mache ich das?

© s&h 2013

 

 

Teil 6: Einsatz von S/MIME Zertifikaten auf dem iPhone

 

Wenn verschlüsselte Emails empfangen werden, können sie nur gelesen werden, wenn der passende geheime Schlüssel auf dem lesenden Gerät installiert ist. Das gilt natürlich auch für das Smartphone. Im ersten Teil dieser Serie haben wir uns ein kostenloses Email-Zertifikat von Comodo beschafft, und es wurde direkt auf dem PC installiert. Zur Sicherheit haben wir eine Kopie des Zertifikats und des geheimen Schlüssels verschlüsselt gesichert. Mit dieser Datei können wir Zertifikat und geheimen Schlüssel auch auf dem iPhone installieren. Die gute Nachricht: Das verwendete Verfahren (S/MIME) ist schon im iPhone integriert (im Gegensatz zu Android (9.2013 aktuell Version 4.2)).

 

Es gibt unterschiedliche Möglichkeiten, die Datei auf das iPhone zu bekommen. Vielleicht haben Sie einen Cloudspeicher (z.B. Dropbox)? Sie können sich die Datei aber auch per Email auf das iPhone senden. Diese Vorgehensweise soll in diesem Artikel gezeigt werden.

 

Zuerst senden sie die verschlüsselte Datei mit dem geheimen Schlüssel und dem Zertifikat an sich selber.

Bild 1: Email mit dem geheimen Schlüssel und dem Zertifikat Bild 1: Email mit dem geheimen Schlüssel und dem Zertifikat

 

Öffnen sie die Email auf ihrem iPhone.

Bild 2: Email auf iPhone öffnen Bild 2: Email auf iPhone öffnen

 

Wie immer finden sie die angehängte Datei am Ende der Email.

Bild 3: Anhang der Email Bild 3: Anhang der Email

 

Klicken sie auf die Datei. Das iPhone erkennt automatisch, dass es sich um ein Zertifikat handelt und öffnet den Installationshelfer.

Bild 4: Installation des Zertifikats auf dem iPhone Bild 4: Installation des Zertifikats auf dem iPhone

 

Klicken sie auf Installieren. Es öffnet sich eine Warnung, dass die Installation des Zertifikats das iPhone-Benutzerprofil ändert. Klicken sie nochmals auf Installieren.

Bild 5: Hinweis: Das Profil wird geändert Bild 5: Hinweis: Das Profil wird geändert

 

Bei der Speicherung des Zertifikats zusammen mit dem geheimen Schlüssel haben sie ein Passwort zur Verschlüsselung der Datei angegeben. Daher kann man die Installation nur starten, wenn dieses Passwort (es sollte ein sicheres Passwort sein, es schützt immerhin den geheimen Schlüssel) eingegeben wird. Es öffnet sich ein Fenster, in dem sie nach diesem Passwort gefragt werden.

Bild 6: Passwortabfrage für die verschlüsseltet Datei Bild 6: Passwortabfrage für die verschlüsselte Datei

 

Nachdem sie das Passwort eingegeben haben, wird die Installation gestartet. Nach der Installation öffnet sich ein Fenster, in dem leider eine unbefriedigende Nachricht steht: Das Zertifikat und der geheime Schlüssel sind zwar installiert worden, allerdings ist das Zertifikat nicht vertrauenswürdig.

Bild 7: Nach der Installation Bild 7: Nach der Installation

 

Wie kann das? Auf dem PC war doch alles in Ordnung?!?

 

Jedes Zertifikat wird von einer Zertifizierungsstelle erzeugt und signiert (beglaubigt). Im vorliegenden Fall ist das Comodo gewesen. Für die Signatur verwendet die Zertifizierungsstelle ihren privaten Schlüssel. Prüfen kann man die Signatur dann mit dem öffentlichen Schlüssel (bzw. dem Zertifikat) der Zertifizierungsstelle. Die gebräuchlichsten Browser unter Windows (z.B. Firefox oder Internet Explorer) haben die Zertifikate der größten bekannten und vertrauenswürdigen Zertifizierungsstellen schon von Haus aus installiert. Auf dem iPhone ist das nicht so. Daher ist Comodo als Zertifizierungsstelle nicht bekannt, und ein Zertifikat, das von Comodo signiert ist, wird nicht als vertrauenswürdig eingestuft.

 

Also, was ist zu tun? Natürlich muss das Zertifikat von Comodo auf dem iPhone installiert werden. Wie schon erwähnt, ist dieses Zertifikat im Browser vorhanden und kann von dort exportiert werden.

 

Beispielhaft soll das hier mit dem Internet Explorer gezeigt werden. Mit Firefox ist es aber ähnlich einfach.

 

Öffnen Sie den Internet Explorer und klicken sie oben auf der Menüleiste auf Extras, dann auf Internetoptionen.

Bild 8: Zertifikatexport mit Internet Explorer Bild 8: Zertifikatexport mit Internet Explorer

 

Im neuen Fenster öffnen sie den Reiter Inhalte. Dort klicken sie auf Zertifikate.

Bild 9: Öffnen des Zertifikatspeichers vom Internet Explorer Bild 9: Öffnen des Zertifikatspeichers vom Internet Explorer

 

Sie haben nun den Zertifikatspeicher des Internet Explorers geöffnet. Hier gibt es mehrere Kategorien von Speichern. Sie finden einen Speicher für ihre eigenen Zertifikate sowie Zertifikate von anderen, mit denen sie dann signiert und verschlüsselt kommunizieren können. Der dritte Reiter öffnet den Speicher für Zertifikate von Zertifizierungsstellen. Öffnen Sie diesen Speicher und suchen Sie das Zertifikat von Comodo. Es gibt zwei Zertifikate von Comodo: eines dient zur Zertifizierung von Clientzertifikaten (wie das beschaffte Email-Zertifikat).

Bild 10: Zertifikatspeicher für Zertifikate von Zertifizierungsstellen Bild 10: Zertifikatspeicher für Zertifikate von Zertifizierungsstellen

 

Wenn sie das Zertifikat gefunden haben, können sie es wieder in eine Datei exportieren. Klicken sie auf Exportieren und es öffnet sich der Zertifikatexport-Assistent, der sie bei dem Export unterstützt.

Bild 11: Start des Zertifikatexport-Assistenten Bild 11: Start des Zertifikatexport-Assistenten

 

Klicken sie auf Weiter.

 

Zuerst werden sie nach dem Format der Datei gefragt, in der das Zertifikat abgespeichert werden soll. Wählen sie, falls nicht schon voreingestellt, DER-codiert-binär aus. Wenn sie sich an den ersten Teil erinnern, stellen sie fest, dass hier ein anderes Format gewählt wird. Als wir unser eigenes Zertifikat gesichert haben, haben wir das p12-Format gewählt. Warum dieser Unterschied?

 

Die jetzt erstellte Datei hat einen anderen Inhalt. Es ist (natürlich) nicht der geheime Schlüssel der Zertifizierungsstelle enthalten, sondern nur deren Zertifikat. Der geheime Schlüssel darf ja niemals aus der Hand gegeben werden,

Bild 12: Einstellung des Dateiformats. Bild 12: Einstellung des Dateiformats.

 

Nun werden sie nach dem Namen der Datei gefragt, in die das Zertifikat gespeichert werden soll.

Bild 13: Eingabe des Dateinamens Bild 13: Eingabe des Dateinamens

 

Es werden noch einmal alle Eingaben angezeigt und die Datei gesichert.

Bild 14: Erfolgreicher Export des Comodo Zertifikats Bild 14: Erfolgreicher Export des Comodo Zertifikats

 

Auch hier bemerkt der aufmerksame Leser/Leserin, dass es einen Unterschied zur Speicherung des eigenen Zertifikats gibt. Damals hatten wir die Datei mit einem Passwort gesichert. Das ist hier nicht der Fall gewesen, warum?

 

Ganz einfach: in einem Zertifikat stehen keine geheimen Daten, schon gar nicht irgendein geheimer Schlüssel. Ganz im Gegenteil, es ist der öffentliche Schlüssel enthalten, den jeder Kommunikationspartner benötigt, der signiert und verschlüsselt kommunizieren will. Jedes Zertifikat ist frei verfügbar und daher besteht keine Notwendigkeit, die Datei zu verschlüsseln.

 

Die Datei mit dem exportierten Zertifikat von Comodo senden wir nun, wie schon gezeigt, per Email an uns selber und öffnen die Email auf dem iPhone.

Bild 15: Email mit Comodo Zertifikat im Anhang Bild 15: Email mit Comodo Zertifikat im Anhang

 

Durch einen Klick auf die Datei wird wieder der Import gestartet.

Bild 16: Das Comodo Zertifikat ist Vertrauenswürdig Bild 16: Das Comodo Zertifikat ist Vertrauenswürdig

 

Wie schon vorher ändert auch diese Installation das Profil.

Bild 17: Hinweis auf die Profiländerung Bild 17: Hinweis auf die Profiländerung

 

Nach Abschluss der Installation ist das vertrauenswürdige Zertifikat von Comodo auf dem iPhone verfügbar.

Bild 18: Comodo Zertifikat erfolgreich installiert Bild 18: Comodo Zertifikat erfolgreich installiert

 

Welche Auswirkung diese Installation hat, wollen wir uns nun ansehen. Öffnen sie unter Einstellungen->Allgemein die Profile.

Bild 19: Ansehen der Profile Bild 19: Ansehen der Profile

 

Es sind 2 Profile enthalten.

Bild 20: Profile auf dem iPhone Bild 20: Profile auf dem iPhone

 

Es existiert für jedes installierte Zertifikat ein zugehöriges Profil.

Klicken Sie auf das Profil, das zu unserem eigenen Zertifikat gehört.

Bild 21: Profil für das eigene Zertifikat Bild 21: Profil für das eigene Zertifikat

 

Da wir nun das vertrauenswürdige Zertifikat der signierenden Zertifizierungsstelle (Comodo) haben, ist unser Zertifikat nun auch vertrauenswürdig.

 

Die Zertifikatsinstallation ist damit abgeschlossen und sowohl unser Zertifikat, als auch unser geheime Schlüssel liegen auf dem iPhone vor. Sie müssen dem iPhone aber noch mitteilen, dass sie das Zertifikat verwenden wollen. Dazu müssen sie S/MIME einschalten.

 

Gehen sie dazu in den Einstellungen auf Mail, Kontakte, Kalender.

Bild 22: Einstellung von S/MIME Bild 22: Einstellung von S/MIME

 

Wählen sie ihren Email-Account aus, mit dem sie S/MIME verwenden wollen.

Bild 23: Auswahl des Accounts iphone@schuba-hoefken.de Bild 23: Auswahl des Accounts iphone@schuba-hoefken.de

 

Klicken sie oben auf Account.

Bild 24: Weitere Auswahl des Accounts Bild 24: Weitere Auswahl des Accounts

 

Klicken sie unten auf Erweitert.

Bild 25: Erweiterte Einstellungen auswählen Bild 25: Erweiterte Einstellungen auswählen

 

Es werden nun die erweiterten Einstellmöglichkeiten angezeigt.

Schalten sie nun unten S/MIME ein.

Bild 26: Einschalten von S/MIME Bild 26: Einschalten von S/MIME

 

Nach dem Einschalten von S/MIME können sie wählen, ob sie die Email signieren oder verschlüsseln oder beides wollen. Natürlich können sie auch beides abschalten und eine unverschlüsselte und unsignierte Email versenden.

Bild 27: Versenden einer verschlüsselten und signierten Email Bild 27: Versenden einer verschlüsselten und signierten Email

 

Eigentlich ist alles so wie vorher, einzig das Schloss und das Wort verschlüsselt weist auf die Veränderung hin.

 

Die gesendete Email wird beim Empfänger natürlich wieder als verschlüsselt und signiert angezeigt.