Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:

Emails Signieren und Verschlüsseln unter 10.5 Leopard

7. Dezember 2007 von dt

Grundsätzlich gibt es zwei Varianten um sicher via Email zu kommunizieren.

  • (Open)PGP z.B. mittels GnuPG
  • S/MIME

Da es derzeit kein GPG Plugin für die in 10.5 Leopard integrierte Mail.app Version gibt, hier eine kurze Anleitung wie man ein S/MIME Zertifikat bekommt, es einrichtet und benutzt.

Schritt 1 (Zertifikat besorgen):

Hier gibt es zig Möglichkeiten. Diese Anleitung erhebt aber keinen Anspruch auf Vollständigkeit, sondern lediglich auf eine möglichst schnell funktionierende Lösung.

  1. Safari starten
  2. Auf cert.startcom.org den “Zertifikats Erzeugungswizard” aufrufen
  3. Dort “Class 1 Zertifikat” auswählen und auf “>> Weiter” klicken
  4. “Persönliches Email Zertifikat – S/MIME” auswählen und auf “>> Weiter klicken”
  5. Auf der folgenden Seite das Formular “Persönliche Registrierungsangaben” vollständig ausfüllen (Laut StartCom müssen die Daten vollständig und richtig angegeben werden) und auf “>> Weiter” klicken.
  6. Die folgende Seite “Eingeben der Zertifikat Information” ebenfalls vollständig ausfüllen (diese Angaben erscheinen später im Zertifikat, wenn eine Email signiert wird) und als Schlüsselgröße 2048bit auswählen. Anschließend auf “>> Weiter” klicken.
  7. StartCom sendet nun eine Email mit einem Überprüfungscode zu. Den Überprüfungscode im Webbrowser eingeben und auf “>> Weiter” klicken.
  8. Auf der folgenden Seite “Install your Certificate” anklicken.
  9. Tatsächlich wurde das Zertifikat nun aber nicht installiert, sondern im “Downloads” Ordner gespeichert.
  10. Die heruntergeladene Datei “spkac.php” in “Zertifikat.crt” umbenennen und anschließend doppelklicken.
  11. Schlüsselbund fragt nun, in welchen Schlüsselbund das Zertifikat importiert werden soll. Dort den Schlüsselbund “Anmeldung” auswählen.

Schritt 2 (Zertifikat-Einstellungen):

  1. Schlüsselbund.app starten (findet sich in Dienstprogramme)
  2. Links auf die Kategorie “Meine Zertifikate” klicken
  3. Dort erscheint nun ein Zertifikat “StartCom Free Certificate Member”. Dieses Zertifikat “aufklappen” (genauso, wie im Finder auch Ordner aufgeklappt werden).
  4. Nun erscheint der Private Schlüssel “Schlüssel von cert.startcom.org”. Diesen Schlüssel anklicken (damit er markiert wird) und dann Apple/Command+I drücken.
  5. Im geöffneten Fenster auf die Registerkarte “Zugriff” klicken. Dort “Zugriff nur nach Warnung” auswählen und unten im Feld “Zugriff von diesen Programmen immer erlauben” Mail.app und Certificate Assistant.app (findet sich unter /System/Library/CoreServices) hinzufügen (Safari.app sollte bereits dabei sein, falls nicht – ebenfalls hinzufügen). Anschließend auf “Änderungen sichern” klicken.
  6. Nun muss noch das Zertifikat der Class 1 Email Zwischenzertifizierungsinstanz hinzugefügt werden. Dieses gibt es auf dieser Seite oder direkt hier. Die Datei “sub.class1.email.ca.crt” landet ebenfalls wieder im “Downloads” Ordner und muss dort doppelgeklickt und dann durch Auswahl des Schlüsselringes “Anmeldung” in selbigen importiert werden.

Schritt 3 (Ausprobieren):

  1. Adressbuch.app öffnen und die eigene Visitenkarte anschauen. Sofern die Emailadresse, für die das Zertifikat ausgestellt wurde in der Visitenkarte steht, erscheint vor der Emailadresse ein “Haken”.
  2. Mail.app öffnen und auf “Neue Mail” klicken. Dort sollten nun ebenfalls zwei neue Symbole sichtbar sein, um Mails zu signieren bzw. zu verschlüsseln (verschlüsseln ist nur möglich, wenn der öffentliche Schlüssel bzw. das Zertifikat des Empfängers im eigenen Schlüsselbund ist – das passiert übrigens automatisch, wenn man von jemandem eine signierte Mail erhält)
  3. Als Test einfach mal eine signierte und verschlüsselte Mail an sich selbst schicken (an die Adresse, für die das Zertifikat ausgestellt wurde)

Schritt 4 (WICHTIG!!! – Backup)

Sein Zertifikat und die zugehörigen Schlüssel (Privater- & Öffentlicher Schlüssel) sollte man unter keinen Umständen verlieren, daher empfiehlt es sich eine Sicherung davon anzulegen.

  1. Keychain.app starten
  2. Auf die Kategorie “Alle Objekte” klicken

Privaten Schlüssel sichern:

  1. “Schlüssel von cert.startcom.org” (Privater Schlüssel) markieren
  2. Auf “Ablage > Objekte exportieren” (oder Shift+Apple/Command+E) klicken
  3. Als Dateityp ist Personal Information Exchange (.P12) vorausgewählt. Nach Klick auf “Speichern” muss noch ein Passwort für die “P12 Containerdatei” eingegeben werden (Gut merken! Nur mit diesem Kennwort kann der private Schlüssel später wieder importiert werden). Als Dateinamen z.B. Privat.p12 verwenden.

Persönliches Zertifikat und Zwischenzertifizierungsinstanz Zertifikat sichern:

  1. “StartCom Free Certificate Member” (Zertifikat) markieren
  2. “StartCom Class1 Primary Email Free CA” (Zertifikat) markieren
  3. Auf “Ablage > Objekte exportieren” (oder Shift+Apple/Command+E) klicken
  4. Datei speichern (z.B. unter “Oeffentlich.cer”)

Die gesicherten Dateien Privat.p12 und Oeffentlich.cer am besten auf eine CD brennen und sicher verwahren (Passwort für den P12 Container nicht vergessen!).Viel Spaß.

Share & Enjoy:
  • Slashdot
  • Digg
  • Reddit
  • del.icio.us
  • Facebook
  • Technorati
  • StumbleUpon
  • Webnews.de
  • MisterWong
  • Yigg

Der Beitrag wurde am Freitag, den 7. Dezember 2007 um 23:42 Uhr von dt veröffentlicht und wurde unter Allgemein, Tutorials abgelegt. du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. du kannst einen Kommentar schreiben, oder einen Trackback auf deiner Seite einrichten.

10 Reaktionen zu “Emails Signieren und Verschlüsseln unter 10.5 Leopard”

  1. Jens
    Am 8. Dezember 2007 um 23:11 Uhr

    Ich empfehle an dieser Stelle gerne auch CAcert.org. Im Gegensatz zu StartCom verfolgt man hier keine komerziellen Interessen und versucht mit einem Web-of-Trust eine PKI für S/MIME und SSL aufzubauen.
    Konkret: Man meldet sich auch hier an, gibt seine eMail-Adressen (auch mehrere in einem Zertifikat) an und bestätigt das über einen Link in der eMail. Damit wären schon einmal die eMail-Adressen verifiziert und man kann schon ein Zertifikat der Klasse 1 wie bei StartCom herunterladen und installieren. Auch hier taucht der eigene Name leider noch nicht als Zertifikatname auf (wie bei StartCom: StartCom Free Certificate Member). Möchte man jetzt etwas mehr muss man sich mit zwei Assureren treffen (ältere Mitglieder die schon verifiziert sind) und sich von denen seine Identität überprüfen lassen (z.B. auf Messen wie der CeBit oder auch Privat; Assurer aus der Umgebung lassen sich einfach über eine Liste finden). Ist das erfolgt kann man nun auch ein Klasse 3 Zertifikat herunterladen und SSL-Zertifkate für Server und Code Signing erstellen lassen.

    Einen ganz großen Harken hat die Sache leider wie bei StartCom: Man muss, sofern man keine Linux Distribution einsetzt, das Wurzelzertifikat der Austellungsstelle installieren. Das heißt schicke ich jemanden eine signierte Mail und hat der Empfänger das Wurzelzertifikat nicht installiert, gehen beim Empfänger im Mailprogramm erstmal alle Alarmglocken an.

  2. Stefan
    Am 10. Dezember 2007 um 20:25 Uhr

    Eine beta version von GPGMail kann man unter http://www.sente.ch/software/GPGMail/English.lproj/GPGMail.html finden.
    Funktioniert bei mir soweit ganz gut.

  3. Kobold
    Am 2. März 2008 um 15:17 Uhr

    Hallo,
    weiss jemand, was ich falsch mache, wenn ich unter Mail 3.2 die Signierungs/Verschlüsselungs-Icons nicht anwählen kann? Ich habe unterdessen 2 E-Mail-Adressen erfolgreich “verifizieren” lassen, doch da die beiden Schaltflächen nicht eingeblendet werden, kann ich auch keine signierten Mails versenden. Im Adressbuch werden die beiden E-Mail-Adressen korrekt mit einem Haken dargestellt.

    Wer weiss Rat?

  4. Martin
    Am 5. März 2008 um 22:55 Uhr

    Das ist ein bisher ungelöster Bug in Leopard. Wenn Du mehrere Emailadressen hast, kannst Du einmal eine andere Adresse als Absender auswählen und dann wieder auf die mit dem Schlüssel zurückschalten, dann geht es.

    Wenn die Schaltflächen gar nicht erscheinen, liegt es vermutlich daran, dass im Schlüsselbund nicht alle Schlüssel (der vorigen Instanzen) sind, oder diesen nicht “vertraut” wurde, sofern es Schlüssel sind, denen das System nicht automatisch vertraut.

  5. DarkMoonWolf
    Am 22. Mai 2008 um 13:48 Uhr

    Hm, ich habe das gleiche problem. Ich habe ein zertifikat (gut es ist nicht von CACErt sondern von meiner Uni), das installiert und im Adressbuch ist es zu sehen, ich hab die Anleitung sonst befolgt, aber ich kriege die Schaltflächen zum Signieren gar nicht erst. Hat da jemand eine Idee ? Halt genau die Schaltfläche zum signieren die taucht gar nicht erst auf.

  6. Julian
    Am 22. Mai 2008 um 17:20 Uhr

    @DarkMoonWolf:
    Mail.app zeigt die Schaltflächen nur an, wenn ein Zertifikat mit passender Emailadresse installiert ist, und dem Zertifikat vertraut wird. Also mal in der Keychain das Zertifikat anschauen und entweder alle Zertifikate bis zum Stammzertifikat installieren (und dem Stammzertifikat dann vertrauen) oder dem Emailzertifikat selbst das Vertrauen aussprechen. Zusätzlich darauf achten, dass die Emailadresse in Mail.app genauso (Groß- / Kleinschreibung) eingegeben wurde, wie sie im Zertifikat steht. Emailadressen sind zwar in der Praxis nicht case sensitive, nach irgendeiner RFC-Norm (die ich gerade nicht griffbereit habe) aber schon – und daran halten sich (leider) auch Keychain.app und Mail.app.

  7. DarkMoonWolf
    Am 28. Mai 2008 um 15:48 Uhr

    Hm, okay, ich habe mal ein wenig herumprobiert. Die Stammzertifikate sind installiert. Mein Zertifikat ist samt privatem Schlüssel installiert und die Zugriffe den drei genannten Anwendungen erlaubt. Ich habe meinem Zertifikat das Vertrauen ausgesprochen. Die Groß- und Kleinschreibung ist korrekt also in Mail/Adressbuch/Zertifikat identisch, im Adressbuch taucht das nette Icon vor der Adresse auf, in Mail gibt es immer noch keine Buttons. Und die nette große Suchmaschine findet für diesen Fall des Problems auch nichts.

  8. DarkMoonWolf
    Am 28. Mai 2008 um 15:58 Uhr

    Kurz vorm Aufgeben hab ich jetzt gerade doch noch den Punkt gefunden. Standard mäßig im allerletzten reiter von PGPMail (beta d51, was neueres kann ich nicht installieren da ich d51 nicht deinstalliert kriege) kann man S/MIME deaktivieren… wieder aktivieren, Mail neustarten unds geht.

    Mal so für die History. Und das zu finden hat mich nun 1,5 Stunden gekostet heute. Nunja, nun weiß ichs.

  9. Visitenkarten für Reiter | MTW OFFICE BLOG
    Am 21. Dezember 2008 um 10:38 Uhr

    [...] open.sour­ce.​mac » Blog Ar­chiv » Emails Si­gnieren ​und​ Ver&#1… [...]

  10. Visitenkarten für Reiter | MTW OFFICE BLOG
    Am 21. Dezember 2008 um 13:15 Uhr

    [...] open.source.​mac » Blog Ar­chiv » Emails Si­gnie­ren ​und​ Versch… [...]

Einen Kommentar schreiben