S/MIME Zertifikat mit einem CSR erwerben und nutzen
20.10.2020 | Petra Alm
Ihr persönliches S/MIME Zertifikat können Sie nun neu mit einem CSR und ohne Internet Explorer abzurufen erwerben. Ursachen der Änderung und die neue Vorgehensweise für den Erwerb dieses Zertifikatstyps finden Sie in diesem Artikel erklärt. Alles ist noch einfacher als vorher.
Ende vom Internet Explorer bedeutet Ende der "Abholung" im Browser
Ausstellung der persönlichen S/MIME Zertifikate war komfortabel, solange die Browser die Abholung des Zertifikats im Web unterstützt haben. Falls Sie das „pick up“ im Microsoft oder Chrome Browser durchgeführt haben, hat sich das Zertifikat direkt in dem Windows-Zertifikatsspeicher generiert und gespeichert. Andere Programme wie Outlook haben das Zertifikat dann identifiziert und es war nichts kompliziertes, das Zertifikat für die Signatur auszuwählen.
Eine Ausnahme stellen Firefox und Thunderbird dar, die anstatt des Zertifikatsspeichers in Windows ein eigenes certificate store nutzen. Jeder Browser verfügt sogar über ein eigenes Programm. Im Firefox konnte das Zertifikat zwar früher abgeholt werden, heutzutage ist es aber nicht mehr möglich.
Eine Wende zum Schlechteren hat der beendete Support der sog. Crypto-api in Browsern gebracht. Einfach gesagt sind sie um die Möglichkeit der Zertifikatsabholung gekommen. Der einzige unterstützende Browser ist Internet Explorer geblieben, welcher aber oft mit Edge verwechselt wird. Im Edge ist die Funktion der Abholung jedoch nicht eingeschlossen und deshalb ist es oft zu Verwirrungen gekommen, die sich auf die Nutzung dieser Methode und das Nutzererlebnis negativ ausgewirkt haben.
Internet Explorer ist die letzte Möglichkeit für die Abholung des S/MIME Zertifikats geblieben. Seitdem jedoch das Ende seines Supports bekanntgemacht wurde (nachgedacht wurde auch über seine Abschaffung aus Windows), rät Microsoft von seiner Nutzung ab. Deshalb haben wir uns entschieden, die S/MIME Zertifikate mithilfe von CSR auszustellen – gleich wie die TLS-Zertifikate.
Erstellung von CSR
Am einfachsten und am schnellsten können Sie die Zertifikatsanforderung direkt im Detail Ihrer Bestellung bei SSLmarket generieren. Den CSR können Sie natürlich auch selbst erstellen, aber die Angaben müssen den Angaben in der Bestellung entsprechen. Für einen eigenen CSR nutzen Sie OpenSSL (das Paket finden Sie in den Unix Systemen) oder das grafische Tool XCA.
Das Tool im Detail Ihrer Bestellung führt für Sie die ganze Operation durch, Sie können sicher sein, dass der CSR in Ordnung ist, und zur Verfügung erhalten Sie auch den privaten Schlüssel. Diesen werden Sie nach der Zertifikatsausstellung für die Generierung von PFX und die Zertifikatsnutzung benötigen, deshalb müssen Sie ihn speichern (darauf weist Sie ein Dialogbox nach der Erstellung von CSR hin).
Der CSR wird in der Bestellung gespeichert, wir beantragen das Zertifikat und Sie bestätigen seine Ausstellung. Die E-Mail für diese Bestätigung, sog. Approval-E-Mail, wird an die in der Bestellung angegebene E-Mail-Adresse abgesendet. Die E-Mail-Adresse ist in dem Zertifikat immer enthalten – auch wenn Sie es für die Signierung von E-Mails nicht nutzen sollten. Klicken Sie an den von DigiCert gesendeten Link und auf dem Web von DigiCert – Ziel des Links - wird eine Bestätigung angezeigt.
S/MIME Approval-E-Mail für die Zertifikatsausstellung. Klicken Sie hier, um das Bild groß darzustellen
Nach der Ausstellung des Zertifikats, zu welcher es augenblicklich nach der Bestätigung der Approval-E-Mail kommt, laden Sie im Detail der Bestellung die PFX-Datei herunter. Sollten Sie auch eine Nachricht von DigiCert erhalten, ignorieren Sie sie bitte. Sie brauchen nur den vorher gespeicherten privaten Schlüssel in das Textfeld einzukopieren und ein Passwort nach Ihrer Wahl einzugeben, welches Sie für die PFX nutzen werden. Die heruntergeladene PFX-Datei wird mit diesem Passwort geschützt und außer dem Zertifikat wird sie auch den oben erwähnten privaten Schlüssel und das CA-Zertifikat enthalten. Diese Datei bewahren Sie als Speicherungskopie für den Fall des Zertifikatsverlustes oder Neuinstallierung des Rechners auf.
Signieren Sie mit dem Zertifikat
Die persönlichen S/MIME Zertifikate werden am häufigsten für die elektronische Signatur verwendet und über die Programme wie Outlook oder Thunderbird eingestellt. Wie können Sie das Zertifikat in diesen Programmen aktivieren?
Vor allem benötigen Sie die PFX-Datei, die alle erforderlichen Teile des Zertifikats enthält. Falls Sie das Zertifikat aus der PFX auf einen Rechner mit Windows importieren möchten, damit es auch andere Programme nutzen können, brauchen Sie die PFX-Datei einfach nur zu öffnen. Nach Anklicken öffnet sich ein Zertifikatimport-Assistent und Sie brauchen sich nur über die Default-Einstellungen durchzuklicken.
Zertifikatimport-Assistent. Klicken Sie hier, damit das Bild groß dargestellt wird.
Lassen Sie sich nicht davon verwirren, dass nach dem abgeschlossenen Importvorgang nichts passiert. Das Zertifikat ist nun in dem Windows-Zertifikatsspeicher gespeichert und Outlook kann es sehen.
Im Outlook wählen Sie nun dieses Zertifikat als das Default-Zertifikat für die Signatur aus – diesen Dialog finden Sie in dem Menü Datei -> Optionen -> Trust Center -> Einstellungen für das Trust Center und weiter unter E-Mail-Sicherheit. Auswahl des Signaturzertifikats ist einfach – das System bietet Ihnen eine Liste der in dem Zertifikatsspeicher vorhandenen Zertifikate und Sie wählen das von DigiCert aus.
Einstellung des S/MIME Zertifkats im Outlook
Nach dieser Einstellung brauchen Sie in einer neuen Nachricht nur den Button Signieren anzuklicken (unter dem Reiter Optionen) und die Nachricht wird mit dem Zertifikat aus der PFX-Datei signiert.
Nach Thunderbird wird das Zertifikat ähnlich importiert, eine Anleitung finden Sie in dem Artikel Importieren und Einstellen des S/MIME-Zertifikats in Clients.
Bleiben Ihre Fragen unbeantwortet?
Sollten Sie bei der Nutzung der S/MIME Zertifikate unsere Hilfe benötigen, sind wir für Sie da. In dem SSLmarket Infozentrum finden Sie alle Aspekte der Nutzung von S/MIME Zertifikaten in Bilderanleitungen beschrieben, deshalb empfehlen wir Ihnen, unser Web zu besuchen.
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de