E-Mail Verschlüsselung mit S/MIME: Unterschied zwischen den Versionen

Aus all-connect Hilfe-Center
Zur Navigation springen Zur Suche springen
 
(28 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
In diesem Hilfe-Artikel haben wir alle Themenbereiche rund um die E-Mail Verschlüsselung mit S/MIME zusammengestellt. Hier erhalten Sie Basis-Wissen und finden zusätzliche technische Erklärungen.
__TOC__ In diesem Hilfe-Artikel haben wir alle Themenbereiche rund um die E-Mail Verschlüsselung mit S/MIME zusammengestellt. Hier erhalten Sie Basis-Wissen und finden zusätzliche technische Erklärungen.  


Für die Erstellung und Verwaltung Ihrer privaten S/MIME Schlüssel und Zertifikate sowie für die Programm-Einrichtung empfehlen wir Ihnen unser Full-Service Paket.
[https://www.all-connect.net/e-mail-verschluesselung-mit-s-mime-zertifikaten/ In dem hier verlinken Blog-Beitrag gehen wir zusätzlich auf die generelle Möglichkeit von E-Mail-Verschlüsselungen ein.]


==mail-connect S/MIME Zertifikate bestellen==
Für die Erstellung und Verwaltung Ihrer privaten S/MIME Schlüssel und Zertifikate sowie für die Programm-Einrichtung empfehlen wir Ihnen unser ''Full-Service Paket „Ready-to-go“''. [https://www.mail-connect.net/s-mime Mehr dazu uns zu unseren mail-connect S/MIME Zertifikaten und Lösungen erhalten Sie direkt hier auf unserer Produktseite.]
 
==mail-connect S/MIME bestellen oder verlängern==


====Welche S/MIME Zertifikate und Unterschiede gibt es?====
====Welche S/MIME Zertifikate und Unterschiede gibt es?====
Zeile 14: Zeile 16:


;PersonalSign Departement
;PersonalSign Departement
Hierbei handelt es sich um ein ''Klasse 2''-Zertifikat welches die Existenz einer Organisation bestätigt und zusätzlich den Namen einer bestimmten Abteilung bestätigt. Dieses Zertifikat kann auf Grund der Multi-User-Lizenz auch von mehreren Personen gleichzeitig verwendet werden. Typische Anwendungsbeispiele sind ''Beispielfirma GmbH, Buchhaltung <buchhaltung@beispieldomain.eu>'', ''Beispielverein eV, Service <info@beispieldomain.eu>'' oder ''Beispiel AG, Personalabteilung <personal@beispieldomain.eu>''.
Hierbei handelt es sich um ein ''Klasse 2''-Zertifikat welches die Existenz einer Organisation und zusätzlich den Namen einer bestimmten Abteilung bestätigt. Dieses Zertifikat kann auf Grund der Multi-User-Lizenz auch von mehreren Personen gleichzeitig verwendet werden. Typische Anwendungsbeispiele sind ''Beispielfirma GmbH, Buchhaltung <buchhaltung@beispieldomain.eu>'', ''Beispielverein eV, Service <info@beispieldomain.eu>'' oder ''Beispiel AG, Personalabteilung <personal@beispieldomain.eu>''.
 
[https://www.mail-connect.net/s-mime Dies gesamte mail-connect S/MIME Übersicht erhalten Sie hier auf unserer Produktseite.]


====Welche Angaben sind für den Antrag nötig====
====Welche Angaben sind für den Antrag nötig?====
* Die E-Mail Adresse für das zu zertifizierende E-Mail-Postfach  
* Die E-Mail Adresse für das zu zertifizierende E-Mail-Postfach  
* Den vollständigen Namen der natürlichen Person (entfällt bei ''Klasse 1'')
* Den vollständigen Namen der natürlichen Person (entfällt bei ''Klasse 1'')
Zeile 25: Zeile 29:
====Ablauf der Verifizierung bis zum fertigen Zertifikat====
====Ablauf der Verifizierung bis zum fertigen Zertifikat====
#Sobald wir den Zertifikatsinhaber bei der Zertifizierungsstelle ''GlobalSign'' erfasst haben, wird die Bestellung bearbeitet. Sie erhalten an das Postfach für welches das S/MIME-Zertifikat bestellt wird, insgesamt 3 bis 4 E-Mails von ''GlobalSign''.
#Sobald wir den Zertifikatsinhaber bei der Zertifizierungsstelle ''GlobalSign'' erfasst haben, wird die Bestellung bearbeitet. Sie erhalten an das Postfach für welches das S/MIME-Zertifikat bestellt wird, insgesamt 3 bis 4 E-Mails von ''GlobalSign''.
#Wenn Sie das Setup mit dem Full-Service Paket bei uns beauftragt haben, leiten Sie uns diese E-Mails gerne jederzeit an uns weiter (service@all-connect). Andernfalls überprüfen Sie die technischen Angaben in der E-Mail selbst und führen die weiteren Anweisungen selbst aus.
#Wenn Sie das Setup mit dem Full-Service Paket <span style="color:#a90000"> „Ready-to-go“</span> bei uns beauftragt haben, leiten Sie uns diese E-Mails weiter (service@all-connect). Andernfalls überprüfen Sie die technischen Angaben in der E-Mail selbst und führen die weiteren Anweisungen selbst aus.
#Nachdem die E-Mails bearbeitet wurden, erfolgt ein Verifizierungsanruf über Telefon von der Zertifikatsstelle. Im Idealfall auf der gewünschten Telefonnummer, die Sie uns zuvor genannt haben. Dabei werden folgende Fragen abgeklärt:
#Nachdem die E-Mails bearbeitet wurden, erfolgt ein Verifizierungsanruf über Telefon von der Zertifikatsstelle. Im Idealfall auf der gewünschten Telefonnummer, die Sie uns zuvor genannt haben. Dabei werden folgende Fragen abgeklärt:
#*Sind Sie die Person, die das Zertifikat auf sich verifizieren will? ''Ja.''
#*Sind Sie die Person, die das Zertifikat auf sich verifizieren will? ''Ja.''
Zeile 31: Zeile 35:
#*Haben Sie das Zertifikat über die Firma all-connect bestellt? ''Ja.''
#*Haben Sie das Zertifikat über die Firma all-connect bestellt? ''Ja.''
#Nach Abschluss aller Identitätsprüfungen, erhalten Sie im letzten Schritt die Bestätigung von ''GlobalSign'', dass die Daten für Ihr neues Zertifikat erfolgreich verifiziert wurden.  
#Nach Abschluss aller Identitätsprüfungen, erhalten Sie im letzten Schritt die Bestätigung von ''GlobalSign'', dass die Daten für Ihr neues Zertifikat erfolgreich verifiziert wurden.  
#*Wenn Sie das Setup mit dem Full-Service Paket bei uns beauftragt haben, erstellen wir den Schlüssel und das Zertifikat für Sie. Je nach E-Mail-Programm konvertieren wir die Dateien auch in das richtige Format, um das Zertifikat auf Ihrem PC zu installieren. Dazu melden wir uns telefonisch bei Ihnen.
#*Wenn Sie das Setup mit dem Full-Service Paket <span style="color:#a90000"> „Ready-to-go“</span> bei uns beauftragt haben, erstellen wir den Schlüssel und das Zertifikat für Sie. Je nach E-Mail-Programm konvertieren wir die Dateien auch in das richtige Format, um das Zertifikat auf Ihrem PC zu installieren. Dazu melden wir uns telefonisch bei Ihnen.
#*Ohne „Ready-to-go“-Setup erstellen Sie die Schlüssel-Datei jetzt selbst. Wir empfehlen dabei eine sichere Verwaltung Ihrer Schlüssel- und Zertifikatsdateien - achten Sie dabei v.a. auf ein sicheres, verschlüsseltes Backup dieser Daten, so dass Sie selbst bei Bedarf auf die Schlüssel noch einmal zugreifen können und dass fremde Dritte aber Ihre digitale Identität nicht entwenden können. Zur Erstellung der X.509 Schlüssel- und Zertifikatsdateien empfehlen wir die kostenfreie Open-Source Variante "openSSL". Eine Kurzanleitung (ohne Zertifikats-Kette) gibt es hier: https://www.privacy-handbuch.de/handbuch_32g.htm. Das CSR-Handling, um die nötigen Schlüsseldaten von GlobalSign zu erhalten, nehmen Sie direkt im Webportal von GlobalSign vor. Je nach E-Mail-Programm konvertieren Sie die Dateien in das passende Format, um das Zertifikat auf Ihrem PC zu installieren. Wenn Sie Hilfe benötigen, können Sie hierfür den E-Mail-Support von GlobalSign nutzen.
#*Ohne <span style="color:#a90000">„Ready-to-go“-Setup</span> erstellen Sie die Schlüssel-Datei jetzt selbst. Wir empfehlen dabei eine sichere Verwaltung Ihrer Schlüssel- und Zertifikatsdateien. Achten Sie dabei v.a. auf ein sicheres, verschlüsseltes Backup dieser Daten, so dass Sie selbst bei Bedarf auf die Schlüssel noch einmal zugreifen können aber fremde Dritte Ihre digitale Identität nicht entwenden können. Zur Erstellung der X.509 Schlüssel- und Zertifikatsdateien empfehlen wir die kostenfreie Open-Source Variante "openSSL". Eine Kurzanleitung (ohne Zertifikats-Kette) gibt es hier: https://www.privacy-handbuch.de/handbuch_32g.htm. Das CSR-Handling, um die nötigen Schlüsseldaten von GlobalSign zu erhalten, nehmen Sie direkt im Webportal von GlobalSign vor. Je nach E-Mail-Programm konvertieren Sie die Dateien in das passende Format, um das Zertifikat auf Ihrem PC zu installieren. Wenn Sie Hilfe benötigen, können Sie hierfür den E-Mail-Support von GlobalSign nutzen.
 
==S/MIME Zertifikate installieren und nutzen==


====Wo müssen die S/MIME Zertifikate installiert werden?====
====Wo müssen die S/MIME Zertifikate installiert werden?====
Ihr S/MIME Zertifikat muss auf Ihrem PC direkt in Ihrem E-Mail-Programm installiert werden. Eine Anleitung hierzu erhalten Sie vom Anbieter Ihres E-Mail-Programms. Gerne helfen wir Ihnen bei Bedarf auch im Rahmen unseres IT-Service, um die notwendigen Konfigurationen vorzunehmen. Oder beauftragen Sie einfach unser „Ready-to-go“-Setup Paket zum Festpreis.
Ihr S/MIME Zertifikat muss auf Ihrem PC direkt in Ihrem E-Mail-Programm installiert werden. Eine Anleitung hierzu erhalten Sie vom Anbieter Ihres E-Mail-Programms. Gerne helfen wir Ihnen bei Bedarf auch im Rahmen unseres IT-Service, um die notwendigen Konfigurationen vorzunehmen. Oder beauftragen Sie einfach unser <span style="color:#a90000"> „Ready-to-go“</span> zum Festpreis.


====Wie erfolgt die Verschlüsselung bzw. Signatur der E-Mails?====
====Wie erfolgt die Verschlüsselung bzw. Signatur der E-Mails?====
Die Signatur und Verschlüsselung der E-Mails kann fest in den Clients eingestellt werden. Entsprechende Anleitungen finden Sie bei der Installationsanleitung oder auf den Supportseiten des Clients.  
Die Signatur und Verschlüsselung der E-Mails kann in Ihrem Programm eingestellt werden. Entsprechende Anleitungen finden Sie bei der Installationsanleitung oder auf den Supportseiten Ihres E-Mail-Programms.
 
====Installation nach Verlängerung eines S/MIME Zertifikates====
Das neue Zertifikat muss in Ihrem E-Mail-Programm neu installiert werden. Auf Grund immer neuer Software-Versionen für das Zertifikats-Format (technische Weiterentwicklung und IT-Sicherheit) wird in den meisten Fällen auch ein neues Schlüsselpaar generiert. Dann ist es zwingend notwendig, den Schlüssel-Austausch mit Ihren Kontakten erneut durchzuführen.


====Kann die Verschlüsselung immer eingesetzt werden?====
====Kann die Verschlüsselung immer eingesetzt werden?====
Nur wenn auch der Empfänger ein S/MIME Zertifikat im Einsatz hat kann eine Verschlüsselung der E-Mails stattfinden.  
Ja, sofern der Empfänger Ihrer E-Mail ebenfalls ein S/MIME Zertifikat im Einsatz hat.  


====Wie findet der Austausch der Keys statt?====
====Wie findet der Austausch der Schlüssel statt?====
Um die Verschlüsselung zu aktivieren muss erstmal eine signierte E-Mail an den Empfänger geschickt werden, dieser antwortet dann mit einer von ihm signierten E-Mail. Erst jetzt können beide Seiten verschlüsselte E-Mails an den jeweils anderen Kontakt versenden.  
Um die Verschlüsselung zwischen zwei Postfächern zu aktivieren, müssen die jeweiligen Sender und Empfänger zuerst eine signierte E-Mail hin und her senden. Erst wenn beide Seiten die jeweils andere Signatur einmal empfangen haben, können nun beide Seiten auch verschlüsselte E-Mails an den jeweils anderen Kontakt senden (und empfangen).  


====Ist der Austausch der Keys eine einmalige Sache?====
====Ist der Austausch der Schlüssel eine einmalige Sache?====
Dieses Vorgehen ist bei allen Kontakten notwendig wenn hier künftig verschlüsselt kommuniziert werden soll. Jedoch erfolgt der Schlüsseltausch nur einmalig mit jedem Kontakt innerhalb der Laufzeit.  
Das o.g. Vorgehen muss mit jedem Kontakt erfolgen, mit dem Sie künftig verschlüsselt kommunizieren möchten. Sollte sich das Zertifikat bzw. der Schlüssel eines Kommunikationspartners ändern, muss der Signatur-Prozess wiederholt werden.


====Kann man sehen ob eine E-Mail verschlüsselt bzw. signiert wurde?====
====Kann man sehen ob eine E-Mail verschlüsselt bzw. signiert wurde?====
Ja. In den Mails wird in der Kopfzeile mit Symbolen angezeigt ob eine Signatur oder Verschlüsselung vorliegt. Ein Briefkuvert steht für Signatur und ein Schloss für Verschlüsselung der E-Mail. Je nach Client können die Symbole auch anders aussehen. Durch das Klicken eines der Symbole erhalten Sie detaillierte Informationen zu dem verwendeten Zertifikat und dem Inhaber.  
Ja. In den Mails wird in der Kopfzeile mit Symbolen angezeigt ob eine Signatur oder eine Verschlüsselung vorliegt. Ein Briefkuvert steht für Signatur und ein Schloss für Verschlüsselung der E-Mail. Je nach Client können die Symbole auch anders aussehen. Durch das Klicken eines der Symbole erhalten Sie detaillierte Informationen zu dem verwendeten Zertifikat und dem Inhaber.
 
====Nach Ablauf des Zertifikats verschlüsselte E-Mails lesen====
Solange der (alte) private Schlüssel zu Ihrem Zertifikat weiter erhalten bleibt, können Sie unbegrenzt auf Ihre bisherigen, verschlüsselten E-Mails zugreifen. Sie können allerdings keine neuen verschlüsselten E-Mails mehr empfangen oder senden.
 
====Ein S/MIME Zertifikat mehrfach verwenden====
Die CA-Lizenz gilt immer für eine (1) natürliche Person und beliebig viele Geräte. Sie können Ihr Zertifikat also auf mehreren Geräten installieren.
 
Wenn das Zertifikat von mehreren Personen genutzt werden soll, benötigen Sie eine Multi-User-Lizenz, welche Sie mit dem ''PersonalSign Departement'' Zertifikat erhalten.


====Beim Versenden einer verschlüsselten Mail erhalte ich den Hinweis das die E-Mail nicht gesendet werde konnte. Woran liegt das?====
Entweder wurde der Schlüsseltausch noch nicht vollzogen oder der Kontakt setzt kein S/MIME
Zertifikat ein. 


====Der Austausch der Schlüssel ist erfolgt. Jedoch kann der Empfänger meine Mails nicht lesen. Woran liegt das?====
==Fehlerbehebung==
Sehr wahrscheinlich liegt Ihnen von dem Kontakt ein alter oder falscher Schlüssel vor. Um dies zu beheben löschen sie den Kontakt UND das gespeicherte Zertifikat aus Ihrem Client und legen den Kontakt dann neu an. Somit wird der neue Schlüssel gespeichert und das Versenden von verschlüsselten E-Mails funktioniert.


====Was passiert nach der Verlängerung eines S/MIME Zertifikates?====
====Der verschlüsselte Versand ist nicht möglich====
Das neue Zertifikat muss auf den Client neu eingespielt werden. Da hier nach der Ausstellung ein neues Schlüsselpaar generiert wurde ist es zwingend notwendig den Tausch mit den Kontakten erneut durchzuführen. Da der alte Key nicht mehr gültig ist kann hier ohne vorherigen Schlüsseltausch kein Versand von verschlüsselten E-Mails stattfinden!
Entweder wurde der Schlüssel-Austausch noch nicht vollzogen oder der Kontakt setzt kein S/MIME Zertifikat ein. 


====Mein Zertifikat ist abgelaufen. Kann ich dann noch verschlüsselte E-Mails lesen?====
====Der Empfänger kann meine Mails nicht lesen====
Ja. Zumindest wenn der Key des Versenders während der Gültigkeit Ihres eigenen S/MIME Zertifikates  gespeichert wurde. Mit neuen Kontakten kann natürlich kein Austausch des Keys
Wahrscheinlich liegt Ihnen von dem Kontakt ein alter oder falscher Schlüssel vor. Um dies zu beheben löschen sie den Kontakt UND das gespeicherte Zertifikat aus Ihrem Client und legen den Kontakt dann neu an. Somit wird der neue Schlüssel gespeichert und das Versenden von verschlüsselten E-Mails funktioniert.  
erfolgen und daher auch keine verschlüsselte E-Mail angenommen werden.  


====Ich habe mein S/MIME Zertifikat nicht mehr. Was nun?====
====Ich habe mein S/MIME Zertifikat verloren====
Sollten Sie kein Backup Ihres Zertifikates haben bleibt Ihnen nur das S/MIME Zertifikat neu ausstellen zu lassen. Nach dem ''Re-Issue'' gilt die gleiche Vorgehensweise wie nach einem ''Re-Newal''. Wir empfehlen zwingend ein Backup des Zertifikates vorzunehmen. Eine Anleitung hierzu finden Sie ebenfalls in der Hilfe bzw. der Anleitung Ihres Clients.  
Sollten Sie Ihr Zertifikat verloren haben (z.B. Festplattenfehler), benötigen Sie ein Backup Ihres privaten Schlüsselpaares und Ihres Zertifikates. Dieses Backup sollte unbedingt verschlüsselt erfolgen, um Ihre digitale Identität zu schützen.  


====Wo kann ich prüfen ob das Zertifikat korrekt installiert wurde?====
Wenn Sie das ursprüngliche Zertifikate-Setup mit dem Full-Service Paket <span style="color:#a90000"> „Ready-to-go“</span> bei uns beauftragt haben, können Sie eine Wiederherstellung Ihrer S/MIME Dateien bei uns beantragen. Falls Sie ansonsten kein Backup Ihrer S/MIME Dateien besitzen oder falls diese Dateien in fremde Hände gelangt sind, weil das Backup nicht ausreichend verschlüsselt war, muss das Zertifikat neu beantragt werden.
Wenn das Zertifikat korrekt installiert wurde dann ist dieses im Zertifikatsverzeichnis des Browsers zu sehen. Das S/MIME Zertifikat muss im Zertifikatsordner „Personal“ oder „ihre Zertifikate“ liegen.  


====Das Zertifikat liegt in einem anderen Ordner. Was tun?====
====Wie kann ich mein Zertifikat überprüfen?====
Dann wurde das Zertifikat nicht mit dem Private Key installiert. Hier muss dann zwingend ein Reissue beantragt und die Installation neu gestartet werden.
Wenn das Zertifikat korrekt installiert wurde, finden Sie dieses im Zertifikatsspeicher Ihres E-Mail-Programms im Zertifikatsordner ''„Personal“'' bzw. ''„Ihre Zertifikate“''. Je nach E-Mail-Programm liegen die Zertifikate ggf. auch im globalen Zertifikatsspeicher Ihres Betriebssystems (Microsoft Windows oder Apple OS X).


====Was tun wenn das Passwort zur Abholung des Zertifikates vergessen wurde?====
Wenn das Zertifikat in einem anderen Ordner liegt, wurde das Zertifikat ggf. falsch bzw. ohne Ihren privaten Schlüssel installiert. In diesem Fall wiederholen Sie die Installation und folgen Sie den Anleitungen Ihres E-Mail-Programms.
In diesem Fall muss der bestehende Auftrag abgebrochen und die Order neu platziert werden.
Wenden Sie sich hierzu an den Support.  


====In dem ausgestellten Zertifikat sind falsche Daten wie z.B. der Name enthalten. Wie können die enthaltenen Informationen angepasst werden?====
====GlobalSign Transaktionspasswort vergessen====
Leider gar nicht. Sobald der Auftrag bei GlobalSign eingegangen ist können die eingetragenen Daten nicht mehr angepasst werden. Hier muss der Auftrag abgebrochen und neu eingestellt werden. Bitte wenden Sie sich hierzu an den Support.  
Das Transaktionspasswort benötigen Sie nur, wenn Sie Ihre S/MIME Dateien und den Schlüssel und das Zertifikat im Webportal von GlobalSign selbst erstellen. Das Transaktionspasswort darf nicht verloren gehen, da damit die S/MIME Daten verschlüsselt übertragen werden. Eine Wiederherstellung bzw. das Zurücksetzen ist nicht möglich. In diesem Fall wird der bestehende Auftrag abgebrochen und die Bestellung muss kostenpflichtig neu platziert werden.  


====Ist es möglich ein S/MIME Zertifikat auf mehreren Rechnern, z.B. Workstation und Laptop, zu verwenden?====
Wenn Sie das Zertifikate-Setup mit unserem Full-Service Paket <span style="color:#a90000"> „Ready-to-go“</span> beauftragt haben, entfällt das Transaktionspasswort, da Sie das Zertifikat direkt über uns erhalten und wir es für Sie installieren.


Ja. Das Zertifikat kann auf mehreren Geräten verwendet werden. Dazu muss das Zertifikat nur  
====Namen oder E-Mail-Adresse im Zertifikat ändern====
exportiert und dann auf den anderen Geräten importiert werden.  
Die Änderung eines Zertifikats ist nicht möglich. Die Verifizierung durch GlobalSign kann nur im Rahmen eines neuen Zertifikats beantragt werden.


'''GANZ WICHTIG:''' Bei der Erstinstallation des Zertifikates muss die Option gesetzt werden dass der private Schlüssel exportierbar ist. Sonst kann das Zertifikat nicht auf den anderen Geräten genutzt werden.


==Full-Service Paket mit <span style="color:#a90000"> „Ready-to-go“-Setup</span>==
Im Rahmen unseres IT-Service bieten wir Ihnen die fertige Einrichtung auf Ihrem PC an. Darin enthalten sind auch alle technischen Arbeiten zur Schlüsselerstellung inkl. TrustCenter-Service:
*Schlüssel- und CSR-Erstellung inkl. CA-Handling
*Secure-Backup Schlüssel-Datei inkl. Zertifikats-Kette
*Lieferung der PFX-Datei für weitere Clients (optional)
*'''Programm-Einrichtung am bestehenden E-Mail-Konto''' - Sie können anschließend sofort verschlüsselt senden und empfangen!


[https://www.mail-connect.net/s-mime Dies gesamte mail-connect S/MIME Übersicht erhalten Sie hier auf unserer Produktseite.]


Zusätzliche Leistungen (z.B. Schulung, Beratung oder weitere Installationen auf mehreren Geräten) werden im Rahmen unseres IT-Service nach Aufwand verrechnet.


[[Category:Erste_Schritte_-_Übersicht_E-Mail-Server]]
[[Category:Erste_Schritte_-_Übersicht_E-Mail-Server]]

Aktuelle Version vom 27. Oktober 2020, 14:19 Uhr

In diesem Hilfe-Artikel haben wir alle Themenbereiche rund um die E-Mail Verschlüsselung mit S/MIME zusammengestellt. Hier erhalten Sie Basis-Wissen und finden zusätzliche technische Erklärungen.

In dem hier verlinken Blog-Beitrag gehen wir zusätzlich auf die generelle Möglichkeit von E-Mail-Verschlüsselungen ein.

Für die Erstellung und Verwaltung Ihrer privaten S/MIME Schlüssel und Zertifikate sowie für die Programm-Einrichtung empfehlen wir Ihnen unser Full-Service Paket „Ready-to-go“. Mehr dazu uns zu unseren mail-connect S/MIME Zertifikaten und Lösungen erhalten Sie direkt hier auf unserer Produktseite.

mail-connect S/MIME bestellen oder verlängern

Welche S/MIME Zertifikate und Unterschiede gibt es?

PersonalSign Basic

Dieses Zertifikat bestätigt bei Klasse 1 die Existenz einer E-Mail-Adresse als ein gültiges Postfach. In der Klasse 2 bestätigt das Zertifikat auch den Realname einer Person als Inhaber des Postfachs.

PersonalSign Pro

Das Zertifikat in der Klasse 2 bestätigt eine natürliche Person wie bei PersonalSign Basic. Zusätzlich bestätigt das Zertifikat auch den Namen der Organisation, für die diese Person das Postfach nutzt (z.B. den Firmennamen, wie etwa "Beispielfirma GmbH"). Daraus wird ersichtlich, dass z.B. Max Mustermann als Mitarbeiter der Firma Beispielfirma GmbH schreibt. Bei Klasse 3 erfolgt die Identitätsprüfung zusätzlich durch Prüfung eines Ausweis-Dokuments.

PersonalSign Departement

Hierbei handelt es sich um ein Klasse 2-Zertifikat welches die Existenz einer Organisation und zusätzlich den Namen einer bestimmten Abteilung bestätigt. Dieses Zertifikat kann auf Grund der Multi-User-Lizenz auch von mehreren Personen gleichzeitig verwendet werden. Typische Anwendungsbeispiele sind Beispielfirma GmbH, Buchhaltung <buchhaltung@beispieldomain.eu>, Beispielverein eV, Service <info@beispieldomain.eu> oder Beispiel AG, Personalabteilung <personal@beispieldomain.eu>.

Dies gesamte mail-connect S/MIME Übersicht erhalten Sie hier auf unserer Produktseite.

Welche Angaben sind für den Antrag nötig?

  • Die E-Mail Adresse für das zu zertifizierende E-Mail-Postfach
  • Den vollständigen Namen der natürlichen Person (entfällt bei Klasse 1)
  • Foto/ Kopie des Personalausweises der natürlichen Person (muss bei Klasse 3 z.B. durch PostIdent beglaubigt werden)
  • Den Handelsregisterauszug der Firma (nur bei PersonalSign Pro oder Departement)
  • Telefonnummer/Durchwahl des künftigen Zertifikatsinhabers (= natürliche Person - diese wird von der Zertifizierungsstelle angerufen, um den Antrag auf Rechtmäßigkeit zu prüfen.)

Ablauf der Verifizierung bis zum fertigen Zertifikat

  1. Sobald wir den Zertifikatsinhaber bei der Zertifizierungsstelle GlobalSign erfasst haben, wird die Bestellung bearbeitet. Sie erhalten an das Postfach für welches das S/MIME-Zertifikat bestellt wird, insgesamt 3 bis 4 E-Mails von GlobalSign.
  2. Wenn Sie das Setup mit dem Full-Service Paket „Ready-to-go“ bei uns beauftragt haben, leiten Sie uns diese E-Mails weiter (service@all-connect). Andernfalls überprüfen Sie die technischen Angaben in der E-Mail selbst und führen die weiteren Anweisungen selbst aus.
  3. Nachdem die E-Mails bearbeitet wurden, erfolgt ein Verifizierungsanruf über Telefon von der Zertifikatsstelle. Im Idealfall auf der gewünschten Telefonnummer, die Sie uns zuvor genannt haben. Dabei werden folgende Fragen abgeklärt:
    • Sind Sie die Person, die das Zertifikat auf sich verifizieren will? Ja.
    • Haben Sie bereits den Link aus der Mail mit dem Betreff "Approve Application" geklickt? Ja.
    • Haben Sie das Zertifikat über die Firma all-connect bestellt? Ja.
  4. Nach Abschluss aller Identitätsprüfungen, erhalten Sie im letzten Schritt die Bestätigung von GlobalSign, dass die Daten für Ihr neues Zertifikat erfolgreich verifiziert wurden.
    • Wenn Sie das Setup mit dem Full-Service Paket „Ready-to-go“ bei uns beauftragt haben, erstellen wir den Schlüssel und das Zertifikat für Sie. Je nach E-Mail-Programm konvertieren wir die Dateien auch in das richtige Format, um das Zertifikat auf Ihrem PC zu installieren. Dazu melden wir uns telefonisch bei Ihnen.
    • Ohne „Ready-to-go“-Setup erstellen Sie die Schlüssel-Datei jetzt selbst. Wir empfehlen dabei eine sichere Verwaltung Ihrer Schlüssel- und Zertifikatsdateien. Achten Sie dabei v.a. auf ein sicheres, verschlüsseltes Backup dieser Daten, so dass Sie selbst bei Bedarf auf die Schlüssel noch einmal zugreifen können aber fremde Dritte Ihre digitale Identität nicht entwenden können. Zur Erstellung der X.509 Schlüssel- und Zertifikatsdateien empfehlen wir die kostenfreie Open-Source Variante "openSSL". Eine Kurzanleitung (ohne Zertifikats-Kette) gibt es hier: https://www.privacy-handbuch.de/handbuch_32g.htm. Das CSR-Handling, um die nötigen Schlüsseldaten von GlobalSign zu erhalten, nehmen Sie direkt im Webportal von GlobalSign vor. Je nach E-Mail-Programm konvertieren Sie die Dateien in das passende Format, um das Zertifikat auf Ihrem PC zu installieren. Wenn Sie Hilfe benötigen, können Sie hierfür den E-Mail-Support von GlobalSign nutzen.

S/MIME Zertifikate installieren und nutzen

Wo müssen die S/MIME Zertifikate installiert werden?

Ihr S/MIME Zertifikat muss auf Ihrem PC direkt in Ihrem E-Mail-Programm installiert werden. Eine Anleitung hierzu erhalten Sie vom Anbieter Ihres E-Mail-Programms. Gerne helfen wir Ihnen bei Bedarf auch im Rahmen unseres IT-Service, um die notwendigen Konfigurationen vorzunehmen. Oder beauftragen Sie einfach unser „Ready-to-go“ zum Festpreis.

Wie erfolgt die Verschlüsselung bzw. Signatur der E-Mails?

Die Signatur und Verschlüsselung der E-Mails kann in Ihrem Programm eingestellt werden. Entsprechende Anleitungen finden Sie bei der Installationsanleitung oder auf den Supportseiten Ihres E-Mail-Programms.

Installation nach Verlängerung eines S/MIME Zertifikates

Das neue Zertifikat muss in Ihrem E-Mail-Programm neu installiert werden. Auf Grund immer neuer Software-Versionen für das Zertifikats-Format (technische Weiterentwicklung und IT-Sicherheit) wird in den meisten Fällen auch ein neues Schlüsselpaar generiert. Dann ist es zwingend notwendig, den Schlüssel-Austausch mit Ihren Kontakten erneut durchzuführen.

Kann die Verschlüsselung immer eingesetzt werden?

Ja, sofern der Empfänger Ihrer E-Mail ebenfalls ein S/MIME Zertifikat im Einsatz hat.

Wie findet der Austausch der Schlüssel statt?

Um die Verschlüsselung zwischen zwei Postfächern zu aktivieren, müssen die jeweiligen Sender und Empfänger zuerst eine signierte E-Mail hin und her senden. Erst wenn beide Seiten die jeweils andere Signatur einmal empfangen haben, können nun beide Seiten auch verschlüsselte E-Mails an den jeweils anderen Kontakt senden (und empfangen).

Ist der Austausch der Schlüssel eine einmalige Sache?

Das o.g. Vorgehen muss mit jedem Kontakt erfolgen, mit dem Sie künftig verschlüsselt kommunizieren möchten. Sollte sich das Zertifikat bzw. der Schlüssel eines Kommunikationspartners ändern, muss der Signatur-Prozess wiederholt werden.

Kann man sehen ob eine E-Mail verschlüsselt bzw. signiert wurde?

Ja. In den Mails wird in der Kopfzeile mit Symbolen angezeigt ob eine Signatur oder eine Verschlüsselung vorliegt. Ein Briefkuvert steht für Signatur und ein Schloss für Verschlüsselung der E-Mail. Je nach Client können die Symbole auch anders aussehen. Durch das Klicken eines der Symbole erhalten Sie detaillierte Informationen zu dem verwendeten Zertifikat und dem Inhaber.

Nach Ablauf des Zertifikats verschlüsselte E-Mails lesen

Solange der (alte) private Schlüssel zu Ihrem Zertifikat weiter erhalten bleibt, können Sie unbegrenzt auf Ihre bisherigen, verschlüsselten E-Mails zugreifen. Sie können allerdings keine neuen verschlüsselten E-Mails mehr empfangen oder senden.

Ein S/MIME Zertifikat mehrfach verwenden

Die CA-Lizenz gilt immer für eine (1) natürliche Person und beliebig viele Geräte. Sie können Ihr Zertifikat also auf mehreren Geräten installieren.

Wenn das Zertifikat von mehreren Personen genutzt werden soll, benötigen Sie eine Multi-User-Lizenz, welche Sie mit dem PersonalSign Departement Zertifikat erhalten.


Fehlerbehebung

Der verschlüsselte Versand ist nicht möglich

Entweder wurde der Schlüssel-Austausch noch nicht vollzogen oder der Kontakt setzt kein S/MIME Zertifikat ein.

Der Empfänger kann meine Mails nicht lesen

Wahrscheinlich liegt Ihnen von dem Kontakt ein alter oder falscher Schlüssel vor. Um dies zu beheben löschen sie den Kontakt UND das gespeicherte Zertifikat aus Ihrem Client und legen den Kontakt dann neu an. Somit wird der neue Schlüssel gespeichert und das Versenden von verschlüsselten E-Mails funktioniert.

Ich habe mein S/MIME Zertifikat verloren

Sollten Sie Ihr Zertifikat verloren haben (z.B. Festplattenfehler), benötigen Sie ein Backup Ihres privaten Schlüsselpaares und Ihres Zertifikates. Dieses Backup sollte unbedingt verschlüsselt erfolgen, um Ihre digitale Identität zu schützen.

Wenn Sie das ursprüngliche Zertifikate-Setup mit dem Full-Service Paket „Ready-to-go“ bei uns beauftragt haben, können Sie eine Wiederherstellung Ihrer S/MIME Dateien bei uns beantragen. Falls Sie ansonsten kein Backup Ihrer S/MIME Dateien besitzen oder falls diese Dateien in fremde Hände gelangt sind, weil das Backup nicht ausreichend verschlüsselt war, muss das Zertifikat neu beantragt werden.

Wie kann ich mein Zertifikat überprüfen?

Wenn das Zertifikat korrekt installiert wurde, finden Sie dieses im Zertifikatsspeicher Ihres E-Mail-Programms im Zertifikatsordner „Personal“ bzw. „Ihre Zertifikate“. Je nach E-Mail-Programm liegen die Zertifikate ggf. auch im globalen Zertifikatsspeicher Ihres Betriebssystems (Microsoft Windows oder Apple OS X).

Wenn das Zertifikat in einem anderen Ordner liegt, wurde das Zertifikat ggf. falsch bzw. ohne Ihren privaten Schlüssel installiert. In diesem Fall wiederholen Sie die Installation und folgen Sie den Anleitungen Ihres E-Mail-Programms.

GlobalSign Transaktionspasswort vergessen

Das Transaktionspasswort benötigen Sie nur, wenn Sie Ihre S/MIME Dateien und den Schlüssel und das Zertifikat im Webportal von GlobalSign selbst erstellen. Das Transaktionspasswort darf nicht verloren gehen, da damit die S/MIME Daten verschlüsselt übertragen werden. Eine Wiederherstellung bzw. das Zurücksetzen ist nicht möglich. In diesem Fall wird der bestehende Auftrag abgebrochen und die Bestellung muss kostenpflichtig neu platziert werden.

Wenn Sie das Zertifikate-Setup mit unserem Full-Service Paket „Ready-to-go“ beauftragt haben, entfällt das Transaktionspasswort, da Sie das Zertifikat direkt über uns erhalten und wir es für Sie installieren.

Namen oder E-Mail-Adresse im Zertifikat ändern

Die Änderung eines Zertifikats ist nicht möglich. Die Verifizierung durch GlobalSign kann nur im Rahmen eines neuen Zertifikats beantragt werden.


Full-Service Paket mit „Ready-to-go“-Setup

Im Rahmen unseres IT-Service bieten wir Ihnen die fertige Einrichtung auf Ihrem PC an. Darin enthalten sind auch alle technischen Arbeiten zur Schlüsselerstellung inkl. TrustCenter-Service:

  • Schlüssel- und CSR-Erstellung inkl. CA-Handling
  • Secure-Backup Schlüssel-Datei inkl. Zertifikats-Kette
  • Lieferung der PFX-Datei für weitere Clients (optional)
  • Programm-Einrichtung am bestehenden E-Mail-Konto - Sie können anschließend sofort verschlüsselt senden und empfangen!

Dies gesamte mail-connect S/MIME Übersicht erhalten Sie hier auf unserer Produktseite.

Zusätzliche Leistungen (z.B. Schulung, Beratung oder weitere Installationen auf mehreren Geräten) werden im Rahmen unseres IT-Service nach Aufwand verrechnet.