E-Mail Verschlüsselung mit S/MIME: Unterschied zwischen den Versionen

Aus all-connect Hilfe-Center
Zur Navigation springen Zur Suche springen
Zeile 16: Zeile 16:
Hierbei handelt es sich um ein ''Klasse 2''-Zertifikat welches die Existenz einer Organisation bestätigt und zusätzlich den Namen einer bestimmten Abteilung bestätigt. Dieses Zertifikat kann auf Grund der Multi-User-Lizenz auch von mehreren Personen gleichzeitig verwendet werden. Typische Anwendungsbeispiele sind ''Beispielfirma GmbH, Buchhaltung <buchhaltung@beispieldomain.eu>'', ''Beispielverein eV, Service <info@beispieldomain.eu>'' oder ''Beispiel AG, Personalabteilung <personal@beispieldomain.eu>''.
Hierbei handelt es sich um ein ''Klasse 2''-Zertifikat welches die Existenz einer Organisation bestätigt und zusätzlich den Namen einer bestimmten Abteilung bestätigt. Dieses Zertifikat kann auf Grund der Multi-User-Lizenz auch von mehreren Personen gleichzeitig verwendet werden. Typische Anwendungsbeispiele sind ''Beispielfirma GmbH, Buchhaltung <buchhaltung@beispieldomain.eu>'', ''Beispielverein eV, Service <info@beispieldomain.eu>'' oder ''Beispiel AG, Personalabteilung <personal@beispieldomain.eu>''.


====Was benötigt all-connect für die Beantragung des Zertifikats====
====Welche Angaben sind für den Antrag nötig====
* Die E-Mail Adresse für das zu zertifizierende E-Mail-Postfach  
* Die E-Mail Adresse für das zu zertifizierende E-Mail-Postfach  
* Den vollständigen Namen der natürlichen Person (entfällt bei ''Klasse 1'')
* Den vollständigen Namen der natürlichen Person (entfällt bei ''Klasse 1'')
Zeile 23: Zeile 23:
* Telefonnummer/Durchwahl des künftigen Zertifikatsinhabers (= natürliche Person - diese wird von der Zertifizierungsstelle angerufen, um den Antrag auf Rechtmäßigkeit zu prüfen.)
* Telefonnummer/Durchwahl des künftigen Zertifikatsinhabers (= natürliche Person - diese wird von der Zertifizierungsstelle angerufen, um den Antrag auf Rechtmäßigkeit zu prüfen.)


====Wie ist der Ablauf des Verifizierung?====
====Ablauf der Verifizierung bis zum fertigen Zertifikat====
#Sobald wir den Zertifikatsinhaber bei der Zertifizierungsstelle ''GlobalSign'' erfasst haben, wird die Bestellung bearbeitet. Sie erhalten an das Postfach für welches das S/MIME-Zertifikat bestellt wird, insgesamt 3 bis 4 E-Mails von ''GlobalSign''.
#Sobald wir den Zertifikatsinhaber bei der Zertifizierungsstelle ''GlobalSign'' erfasst haben, wird die Bestellung bearbeitet. Sie erhalten an das Postfach für welches das S/MIME-Zertifikat bestellt wird, insgesamt 3 bis 4 E-Mails von ''GlobalSign''.
#Wenn Sie das Setup mit dem Full-Service Paket bei uns beauftragt haben, leiten Sie uns diese E-Mails gerne jederzeit an uns weiter (service@all-connect). Andernfalls überprüfen Sie die technischen Angaben in der E-Mail selbst und führen die weiteren Anweisungen selbst aus.
#Wenn Sie das Setup mit dem Full-Service Paket bei uns beauftragt haben, leiten Sie uns diese E-Mails gerne jederzeit an uns weiter (service@all-connect). Andernfalls überprüfen Sie die technischen Angaben in der E-Mail selbst und führen die weiteren Anweisungen selbst aus.

Version vom 6. November 2019, 14:44 Uhr

In diesem Hilfe-Artikel haben wir alle Themenbereiche rund um die E-Mail Verschlüsselung mit S/MIME zusammengestellt. Hier erhalten Sie Basis-Wissen und finden zusätzliche technische Erklärungen.

Für die Erstellung und Verwaltung Ihrer privaten S/MIME Schlüssel und Zertifikate sowie für die Programm-Einrichtung empfehlen wir Ihnen unser Full-Service Paket.

mail-connect S/MIME Zertifikate bestellen

Welche S/MIME Zertifikate und Unterschiede gibt es?

PersonalSign Basic

Dieses Zertifikat bestätigt bei Klasse 1 die Existenz einer E-Mail-Adresse als ein gültiges Postfach. In der Klasse 2 bestätigt das Zertifikat auch den Realname einer Person als Inhaber des Postfachs.

PersonalSign Pro

Das Zertifikat in der Klasse 2 bestätigt eine natürliche Person wie bei PersonalSign Basic. Zusätzlich bestätigt das Zertifikat auch den Namen der Organisation, für die diese Person das Postfach nutzt (z.B. den Firmennamen, wie etwa "Beispielfirma GmbH"). Daraus wird ersichtlich, dass z.B. Max Mustermann als Mitarbeiter der Firma Beispielfirma GmbH schreibt. Bei Klasse 3 erfolgt die Identitätsprüfung zusätzlich durch Prüfung eines Ausweis-Dokuments.

PersonalSign Departement

Hierbei handelt es sich um ein Klasse 2-Zertifikat welches die Existenz einer Organisation bestätigt und zusätzlich den Namen einer bestimmten Abteilung bestätigt. Dieses Zertifikat kann auf Grund der Multi-User-Lizenz auch von mehreren Personen gleichzeitig verwendet werden. Typische Anwendungsbeispiele sind Beispielfirma GmbH, Buchhaltung <buchhaltung@beispieldomain.eu>, Beispielverein eV, Service <info@beispieldomain.eu> oder Beispiel AG, Personalabteilung <personal@beispieldomain.eu>.

Welche Angaben sind für den Antrag nötig

  • Die E-Mail Adresse für das zu zertifizierende E-Mail-Postfach
  • Den vollständigen Namen der natürlichen Person (entfällt bei Klasse 1)
  • Foto/ Kopie des Personalausweises der natürlichen Person (muss bei Klasse 3 z.B. durch PostIdent beglaubigt werden)
  • Den Handelsregisterauszug der Firma (nur bei PersonalSign Pro oder Departement)
  • Telefonnummer/Durchwahl des künftigen Zertifikatsinhabers (= natürliche Person - diese wird von der Zertifizierungsstelle angerufen, um den Antrag auf Rechtmäßigkeit zu prüfen.)

Ablauf der Verifizierung bis zum fertigen Zertifikat

  1. Sobald wir den Zertifikatsinhaber bei der Zertifizierungsstelle GlobalSign erfasst haben, wird die Bestellung bearbeitet. Sie erhalten an das Postfach für welches das S/MIME-Zertifikat bestellt wird, insgesamt 3 bis 4 E-Mails von GlobalSign.
  2. Wenn Sie das Setup mit dem Full-Service Paket bei uns beauftragt haben, leiten Sie uns diese E-Mails gerne jederzeit an uns weiter (service@all-connect). Andernfalls überprüfen Sie die technischen Angaben in der E-Mail selbst und führen die weiteren Anweisungen selbst aus.
  3. Nachdem die E-Mails bearbeitet wurden, erfolgt ein Verifizierungsanruf über Telefon von der Zertifikatsstelle. Im Idealfall auf der gewünschten Telefonnummer, die Sie uns zuvor genannt haben. Dabei werden folgende Fragen abgeklärt:
    • Sind Sie die Person, die das Zertifikat auf sich verifizieren will? Ja.
    • Haben Sie bereits den Link aus der Mail mit dem Betreff "Approve Application" geklickt? Ja.
    • Haben Sie das Zertifikat über die Firma all-connect bestellt? Ja.
  4. Nach Abschluss aller Identitätsprüfungen, erhalten Sie im letzten Schritt die Bestätigung von GlobalSign, dass die Daten für Ihr neues Zertifikat erfolgreich verifiziert wurden.
    • Wenn Sie das Setup mit dem Full-Service Paket bei uns beauftragt haben, erstellen wir den Schlüssel und das Zertifikat für Sie. Je nach E-Mail-Programm konvertieren wir die Dateien auch in das richtige Format, um das Zertifikat auf Ihrem PC zu installieren. Dazu melden wir uns telefonisch bei Ihnen.
    • Ohne „Ready-to-go“-Setup erstellen Sie die Schlüssel-Datei jetzt selbst. Wir empfehlen dabei eine sichere Verwaltung Ihrer Schlüssel- und Zertifikatsdateien - achten Sie dabei v.a. auf ein sicheres, verschlüsseltes Backup dieser Daten, so dass Sie selbst bei Bedarf auf die Schlüssel noch einmal zugreifen können und dass fremde Dritte aber Ihre digitale Identität nicht entwenden können. Zur Erstellung der X.509 Schlüssel- und Zertifikatsdateien empfehlen wir die kostenfreie Open-Source Variante "openSSL". Eine Kurzanleitung (ohne Zertifikats-Kette) gibt es hier: https://www.privacy-handbuch.de/handbuch_32g.htm. Das CSR-Handling, um die nötigen Schlüsseldaten von GlobalSign zu erhalten, nehmen Sie direkt im Webportal von GlobalSign vor. Je nach E-Mail-Programm konvertieren Sie die Dateien in das passende Format, um das Zertifikat auf Ihrem PC zu installieren. Wenn Sie Hilfe benötigen, können Sie hierfür den E-Mail-Support von GlobalSign nutzen.

Wo müssen die S/MIME Zertifikate installiert werden?

Ihr S/MIME Zertifikat muss auf Ihrem PC direkt in Ihrem E-Mail-Programm installiert werden. Eine Anleitung hierzu erhalten Sie vom Anbieter Ihres E-Mail-Programms. Gerne helfen wir Ihnen bei Bedarf auch im Rahmen unseres IT-Service, um die notwendigen Konfigurationen vorzunehmen. Oder beauftragen Sie einfach unser „Ready-to-go“-Setup Paket zum Festpreis.

Wie erfolgt die Verschlüsselung bzw. Signatur der E-Mails?

Die Signatur und Verschlüsselung der E-Mails kann fest in den Clients eingestellt werden. Entsprechende Anleitungen finden Sie bei der Installationsanleitung oder auf den Supportseiten des Clients.

Kann die Verschlüsselung immer eingesetzt werden?

Nur wenn auch der Empfänger ein S/MIME Zertifikat im Einsatz hat kann eine Verschlüsselung der E-Mails stattfinden.

Wie findet der Austausch der Keys statt?

Um die Verschlüsselung zu aktivieren muss erstmal eine signierte E-Mail an den Empfänger geschickt werden, dieser antwortet dann mit einer von ihm signierten E-Mail. Erst jetzt können beide Seiten verschlüsselte E-Mails an den jeweils anderen Kontakt versenden.

Ist der Austausch der Keys eine einmalige Sache?

Dieses Vorgehen ist bei allen Kontakten notwendig wenn hier künftig verschlüsselt kommuniziert werden soll. Jedoch erfolgt der Schlüsseltausch nur einmalig mit jedem Kontakt innerhalb der Laufzeit.

Kann man sehen ob eine E-Mail verschlüsselt bzw. signiert wurde?

Ja. In den Mails wird in der Kopfzeile mit Symbolen angezeigt ob eine Signatur oder Verschlüsselung vorliegt. Ein Briefkuvert steht für Signatur und ein Schloss für Verschlüsselung der E-Mail. Je nach Client können die Symbole auch anders aussehen. Durch das Klicken eines der Symbole erhalten Sie detaillierte Informationen zu dem verwendeten Zertifikat und dem Inhaber.

Beim Versenden einer verschlüsselten Mail erhalte ich den Hinweis das die E-Mail nicht gesendet werde konnte. Woran liegt das?

Entweder wurde der Schlüsseltausch noch nicht vollzogen oder der Kontakt setzt kein S/MIME Zertifikat ein.

Der Austausch der Schlüssel ist erfolgt. Jedoch kann der Empfänger meine Mails nicht lesen. Woran liegt das?

Sehr wahrscheinlich liegt Ihnen von dem Kontakt ein alter oder falscher Schlüssel vor. Um dies zu beheben löschen sie den Kontakt UND das gespeicherte Zertifikat aus Ihrem Client und legen den Kontakt dann neu an. Somit wird der neue Schlüssel gespeichert und das Versenden von verschlüsselten E-Mails funktioniert.

Was passiert nach der Verlängerung eines S/MIME Zertifikates?

Das neue Zertifikat muss auf den Client neu eingespielt werden. Da hier nach der Ausstellung ein neues Schlüsselpaar generiert wurde ist es zwingend notwendig den Tausch mit den Kontakten erneut durchzuführen. Da der alte Key nicht mehr gültig ist kann hier ohne vorherigen Schlüsseltausch kein Versand von verschlüsselten E-Mails stattfinden!

Mein Zertifikat ist abgelaufen. Kann ich dann noch verschlüsselte E-Mails lesen?

Ja. Zumindest wenn der Key des Versenders während der Gültigkeit Ihres eigenen S/MIME Zertifikates gespeichert wurde. Mit neuen Kontakten kann natürlich kein Austausch des Keys erfolgen und daher auch keine verschlüsselte E-Mail angenommen werden.

Ich habe mein S/MIME Zertifikat nicht mehr. Was nun?

Sollten Sie kein Backup Ihres Zertifikates haben bleibt Ihnen nur das S/MIME Zertifikat neu ausstellen zu lassen. Nach dem Re-Issue gilt die gleiche Vorgehensweise wie nach einem Re-Newal. Wir empfehlen zwingend ein Backup des Zertifikates vorzunehmen. Eine Anleitung hierzu finden Sie ebenfalls in der Hilfe bzw. der Anleitung Ihres Clients.

Wo kann ich prüfen ob das Zertifikat korrekt installiert wurde?

Wenn das Zertifikat korrekt installiert wurde dann ist dieses im Zertifikatsverzeichnis des Browsers zu sehen. Das S/MIME Zertifikat muss im Zertifikatsordner „Personal“ oder „ihre Zertifikate“ liegen.

Das Zertifikat liegt in einem anderen Ordner. Was tun?

Dann wurde das Zertifikat nicht mit dem Private Key installiert. Hier muss dann zwingend ein Reissue beantragt und die Installation neu gestartet werden.

Was tun wenn das Passwort zur Abholung des Zertifikates vergessen wurde?

In diesem Fall muss der bestehende Auftrag abgebrochen und die Order neu platziert werden. Wenden Sie sich hierzu an den Support.

In dem ausgestellten Zertifikat sind falsche Daten wie z.B. der Name enthalten. Wie können die enthaltenen Informationen angepasst werden?

Leider gar nicht. Sobald der Auftrag bei GlobalSign eingegangen ist können die eingetragenen Daten nicht mehr angepasst werden. Hier muss der Auftrag abgebrochen und neu eingestellt werden. Bitte wenden Sie sich hierzu an den Support.

Ist es möglich ein S/MIME Zertifikat auf mehreren Rechnern, z.B. Workstation und Laptop, zu verwenden?

Ja. Das Zertifikat kann auf mehreren Geräten verwendet werden. Dazu muss das Zertifikat nur exportiert und dann auf den anderen Geräten importiert werden.

GANZ WICHTIG: Bei der Erstinstallation des Zertifikates muss die Option gesetzt werden dass der private Schlüssel exportierbar ist. Sonst kann das Zertifikat nicht auf den anderen Geräten genutzt werden.