Anfängerfrage S/MIME-Zertifikat David

  • Moin zusammen, ich muss gestehen, dieses Thema bislang stiefmütterlich behandelt zu haben, da es noch keine entsprechenden Kunden-Bedürfnisse gab. Aber nun hat ein Kunde direkt aus dem David-Client ein E-Mail-Zertifikat erworben und möchte mit einem Empfänger verschlüsselt kommunizieren.


    Das grundsätzliche Verfahren ist mir (auch dank des YT-Videos von stylistics :thumbup:) halbwegs klar. Ich habe das Speichern der Zertifikate auf dem Server konfiguriert, und nun liegt im User-Archiv eine name@kundendomain.de@kundendomain.de.dfc, im Client wird alles korrekt angezeigt. Der Versand signierter Mails klappt wunderbar.


    Wenn ich es korrekt verstehe, müsste für eine komplett verschlüsselte Kommunikation doch nun Folgendes passieren:


    - Der Kunde schickt an den Empfänger eine signierte E-Mail, damit dieser das Zertifikat installieren kann (?)

    - Der Empfänger schickt dem Kunden eine signierte E-Mail zurück, damit das in der Gegenrichtung auch passiert.

    - Anschließend lässt sich über die Nachrichtenoptionen die Verschlüsselung für Nachrichtentext und Anhänge einschalten (geht das eigentlich auch schneller als darüber?), der Kunde wählt hier das nun bekannte Empfänger-Zertifikat aus.


    Mache ich einen gedanklichen Fehler? Der Kunde jedenfalls sagt, er hätte das so probiert und bekommt vom Empfänger folgende Nachricht zurück:


    In Ihrem Steckbrief fehlt das SMIME Zertifikat für die Inhaltsdatenverschlüsselung. Bitte senden Sie einen korrigierten Steckbrief ein, damit Ihr Teilnehmer eingerichtet werden kann. Das SMIME Zertifikat, welches wir benötigen muss von einem externen Zertifizierer stammen und muss aus Client Zertifikat, Intermediate Zertifikat und Root Zertifikat bestehen. Das SMIME Zertifikat muss folgende Form besitzen:


    ----- BEGIN CERTIFICATE-----

    [Hier der Schlüssel des Client Zertifikats, ohne Klammern]

    -----END CERTIFICATE-----


    [...]


    OK... An die Zertifikate im Klartext bzw. base64 komme ich doch aber "zu Fuß" gar nicht ran, oder? Ich hab' nur die .dfc-Datei und die -p7b aus der Tobit-Mail, beide offensichtlich verschlüsselt. Was also möchte der Empfänger von uns? Mögt ihr mich kurz erhellen? Bin für jeden Tipp dankbar.

  • Wenn der Kunde die Mail verschlüsselt verschicken will und es kommt eine Nachfrage welches Zertifikat er verwenden will, hat er das Zertifikat der Gegenstelle (eMail Adresse) bei sich noch nicht (richtig) installiert. Diese bekommt er mit einer signierten Nachricht von der Gegenstelle, wie du schon richtig beschrieben hast.

  • OK... Bei der Gegenstelle wird das offenbar anders gehandhabt (deutsche Behörde?) - die möchten keinen einfachen E-Mail-Austausch haben, sondern dass man man Client-, Intermediate- und Root-Zertifikat in einem gesonderten Bereich manuell hochlädt. :rolleyes:


    Das Client-Zertifikat als base64 habe ich inzwischen herausgeprokelt bekommen über "Zertifikat installieren" im David-Client und dann in Windows Benutzerzertifikate -> Alle Aufgaben -> Exportieren. Aber wie komme ich an Root und Intermediate?

  • Ich GLAUBE, ich hab's jetzt. Zum Extrahieren der 3 Zertifikate ins base64-Format muss man:

    • Im David-Client eine signierte E-Mail öffnen (kleiner falcepalm am Rande: Die Mail von Tobit, mit der man seine digitale Signatur erhält, ist selbst fehlerhaft signiert...)
    • Auf das Siegel "Digital signiert" klicken
    • In den Reiter "Zertifizierungspfad" wechseln
    • Dort auf das oberste (Root) Zertifikat gehen, "Zertifikat anzeigen" klicken, im neuen Fenster auf "Details" und dort "In Datei kopieren"
    • Die ganze Aktion für die zweite Zeile (Intermediate, hoffe ich mal?) und letzte Zeile (Client) wiederholen.

    Unterm Strich macht man also die Arbeit, die der Empfänger mit einer signierten Mail auch selbst erledigen könnte. Naja, mal schauen, ob die damit dann wenigstens zufrieden sind.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!