Warum ist es wichtig, ein E-Mail Zertifikat zu nutzen, und wie mache ich das?
© s&h 2013
Teil 6: Einsatz von S/MIME Zertifikaten auf dem iPhone
Wenn verschlüsselte Emails empfangen werden, können sie nur gelesen werden, wenn der passende geheime Schlüssel auf dem lesenden Gerät installiert ist. Das gilt natürlich auch für das Smartphone. Im ersten Teil dieser Serie haben wir uns ein kostenloses Email-Zertifikat von Comodo beschafft, und es wurde direkt auf dem PC installiert. Zur Sicherheit haben wir eine Kopie des Zertifikats und des geheimen Schlüssels verschlüsselt gesichert. Mit dieser Datei können wir Zertifikat und geheimen Schlüssel auch auf dem iPhone installieren. Die gute Nachricht: Das verwendete Verfahren (S/MIME) ist schon im iPhone integriert (im Gegensatz zu Android (9.2013 aktuell Version 4.2)).
Es gibt unterschiedliche Möglichkeiten, die Datei auf das iPhone zu bekommen. Vielleicht haben Sie einen Cloudspeicher (z.B. Dropbox)? Sie können sich die Datei aber auch per Email auf das iPhone senden. Diese Vorgehensweise soll in diesem Artikel gezeigt werden.
Zuerst senden sie die verschlüsselte Datei mit dem geheimen Schlüssel und dem Zertifikat an sich selber.
Öffnen sie die Email auf ihrem iPhone.
Wie immer finden sie die angehängte Datei am Ende der Email.
Klicken sie auf die Datei. Das iPhone erkennt automatisch, dass es sich um ein Zertifikat handelt und öffnet den Installationshelfer.
Klicken sie auf Installieren. Es öffnet sich eine Warnung, dass die Installation des Zertifikats das iPhone-Benutzerprofil ändert. Klicken sie nochmals auf Installieren.
Bei der Speicherung des Zertifikats zusammen mit dem geheimen Schlüssel haben sie ein Passwort zur Verschlüsselung der Datei angegeben. Daher kann man die Installation nur starten, wenn dieses Passwort (es sollte ein sicheres Passwort sein, es schützt immerhin den geheimen Schlüssel) eingegeben wird. Es öffnet sich ein Fenster, in dem sie nach diesem Passwort gefragt werden.
Nachdem sie das Passwort eingegeben haben, wird die Installation gestartet. Nach der Installation öffnet sich ein Fenster, in dem leider eine unbefriedigende Nachricht steht: Das Zertifikat und der geheime Schlüssel sind zwar installiert worden, allerdings ist das Zertifikat nicht vertrauenswürdig.
Wie kann das? Auf dem PC war doch alles in Ordnung?!?
Jedes Zertifikat wird von einer Zertifizierungsstelle erzeugt und signiert (beglaubigt). Im vorliegenden Fall ist das Comodo gewesen. Für die Signatur verwendet die Zertifizierungsstelle ihren privaten Schlüssel. Prüfen kann man die Signatur dann mit dem öffentlichen Schlüssel (bzw. dem Zertifikat) der Zertifizierungsstelle. Die gebräuchlichsten Browser unter Windows (z.B. Firefox oder Internet Explorer) haben die Zertifikate der größten bekannten und vertrauenswürdigen Zertifizierungsstellen schon von Haus aus installiert. Auf dem iPhone ist das nicht so. Daher ist Comodo als Zertifizierungsstelle nicht bekannt, und ein Zertifikat, das von Comodo signiert ist, wird nicht als vertrauenswürdig eingestuft.
Also, was ist zu tun? Natürlich muss das Zertifikat von Comodo auf dem iPhone installiert werden. Wie schon erwähnt, ist dieses Zertifikat im Browser vorhanden und kann von dort exportiert werden.
Beispielhaft soll das hier mit dem Internet Explorer gezeigt werden. Mit Firefox ist es aber ähnlich einfach.
Öffnen Sie den Internet Explorer und klicken sie oben auf der Menüleiste auf Extras, dann auf Internetoptionen.
Im neuen Fenster öffnen sie den Reiter Inhalte. Dort klicken sie auf Zertifikate.
Sie haben nun den Zertifikatspeicher des Internet Explorers geöffnet. Hier gibt es mehrere Kategorien von Speichern. Sie finden einen Speicher für ihre eigenen Zertifikate sowie Zertifikate von anderen, mit denen sie dann signiert und verschlüsselt kommunizieren können. Der dritte Reiter öffnet den Speicher für Zertifikate von Zertifizierungsstellen. Öffnen Sie diesen Speicher und suchen Sie das Zertifikat von Comodo. Es gibt zwei Zertifikate von Comodo: eines dient zur Zertifizierung von Clientzertifikaten (wie das beschaffte Email-Zertifikat).
Wenn sie das Zertifikat gefunden haben, können sie es wieder in eine Datei exportieren. Klicken sie auf Exportieren und es öffnet sich der Zertifikatexport-Assistent, der sie bei dem Export unterstützt.
Klicken sie auf Weiter.
Zuerst werden sie nach dem Format der Datei gefragt, in der das Zertifikat abgespeichert werden soll. Wählen sie, falls nicht schon voreingestellt, DER-codiert-binär aus. Wenn sie sich an den ersten Teil erinnern, stellen sie fest, dass hier ein anderes Format gewählt wird. Als wir unser eigenes Zertifikat gesichert haben, haben wir das p12-Format gewählt. Warum dieser Unterschied?
Die jetzt erstellte Datei hat einen anderen Inhalt. Es ist (natürlich) nicht der geheime Schlüssel der Zertifizierungsstelle enthalten, sondern nur deren Zertifikat. Der geheime Schlüssel darf ja niemals aus der Hand gegeben werden,
Nun werden sie nach dem Namen der Datei gefragt, in die das Zertifikat gespeichert werden soll.
Es werden noch einmal alle Eingaben angezeigt und die Datei gesichert.
Auch hier bemerkt der aufmerksame Leser/Leserin, dass es einen Unterschied zur Speicherung des eigenen Zertifikats gibt. Damals hatten wir die Datei mit einem Passwort gesichert. Das ist hier nicht der Fall gewesen, warum?
Ganz einfach: in einem Zertifikat stehen keine geheimen Daten, schon gar nicht irgendein geheimer Schlüssel. Ganz im Gegenteil, es ist der öffentliche Schlüssel enthalten, den jeder Kommunikationspartner benötigt, der signiert und verschlüsselt kommunizieren will. Jedes Zertifikat ist frei verfügbar und daher besteht keine Notwendigkeit, die Datei zu verschlüsseln.
Die Datei mit dem exportierten Zertifikat von Comodo senden wir nun, wie schon gezeigt, per Email an uns selber und öffnen die Email auf dem iPhone.
Durch einen Klick auf die Datei wird wieder der Import gestartet.
Wie schon vorher ändert auch diese Installation das Profil.
Nach Abschluss der Installation ist das vertrauenswürdige Zertifikat von Comodo auf dem iPhone verfügbar.
Welche Auswirkung diese Installation hat, wollen wir uns nun ansehen. Öffnen sie unter Einstellungen->Allgemein die Profile.
Es sind 2 Profile enthalten.
Es existiert für jedes installierte Zertifikat ein zugehöriges Profil.
Klicken Sie auf das Profil, das zu unserem eigenen Zertifikat gehört.
Da wir nun das vertrauenswürdige Zertifikat der signierenden Zertifizierungsstelle (Comodo) haben, ist unser Zertifikat nun auch vertrauenswürdig.
Die Zertifikatsinstallation ist damit abgeschlossen und sowohl unser Zertifikat, als auch unser geheime Schlüssel liegen auf dem iPhone vor. Sie müssen dem iPhone aber noch mitteilen, dass sie das Zertifikat verwenden wollen. Dazu müssen sie S/MIME einschalten.
Gehen sie dazu in den Einstellungen auf Mail, Kontakte, Kalender.
Wählen sie ihren Email-Account aus, mit dem sie S/MIME verwenden wollen.
Klicken sie oben auf Account.
Klicken sie unten auf Erweitert.
Es werden nun die erweiterten Einstellmöglichkeiten angezeigt.
Schalten sie nun unten S/MIME ein.
Nach dem Einschalten von S/MIME können sie wählen, ob sie die Email signieren oder verschlüsseln oder beides wollen. Natürlich können sie auch beides abschalten und eine unverschlüsselte und unsignierte Email versenden.
Eigentlich ist alles so wie vorher, einzig das Schloss und das Wort verschlüsselt weist auf die Veränderung hin.
Die gesendete Email wird beim Empfänger natürlich wieder als verschlüsselt und signiert angezeigt.