E-Mail Verschlüsselung mit S/MIME
Informationen und FAQs zur Einrichtung von S/MIME Zertifikaten
Welche S/MIME Zertifikate und Unterschiede gibt es?
Personal Sign Die E-Mail-Adresse sowie der Inhaber (natürliche Person) stimmen überein: z.B. m.mustermann@beispieldomain.eu und die Person Max Mustermann -> Das Zertifikatsinhaber ist demnach Max Mustermann.
Personal Sign Pro Die E-Mail-Adresse sowie der Inhaber (natürliche Person) stimmen überein: z.B. m.mustermann@beispieldomain.eu und die Person Max Mustermann Zusätzlich wird noch der Firmenname (z.B. Beispielfirma GmbH) mit eingetragen -> Das Zertifikatsinhaber ist demnach Max Mustermann, es ist jedoch direkt klar – Max Mustermann schreibt als Mitarbeiter der Firma Beispielfirma GmbH.
Personal Sign Departement Hierbei handelt es sich um ein Zertifikat welches für eine Firma oder besser eine bestimmte Abteilung einer Firma erworben wird. -> Das Zertifikatsinhaber ist demnach die jeweilige Abteilung z.B. finance@beispieldomain.eu und keine natürliche Person.
Was benötigt die all-connect für die Zertifikatsbeantragung
- Den vollständigen Namen der natürliche Person, auf die das Zertifikat ausgestellt werden soll
- Das E-Mail-Postfach für welches das Zertifikat beantragt werden soll
- ein Foto/ eine Kopie des Personalausweises
- den Handelsregisterauszug der Firma
- die korrekte Telefonnummer/Durchwahl des Zertifikatsinhabers
Wo müssen die S/MIME Zertifikate installiert werden?
Die S/MIME Zertifikate müssen direkt in den E-Mail-Client installiert werden. Eine Anleitung hierzu erhalten Sie vom Anbieter Ihres E-Mail-Programms. Gerne helfen wir Ihnen bei Bedarf auch im Rahmen unseres IT-Service, um die notwendigen Konfigurationen vorzunehmen.
Wie erfolgt die Verschlüsselung bzw. Signatur der E-Mails?
Die Signatur und Verschlüsselung der E-Mails kann fest in den Clients eingestellt werden. Entsprechende Anleitungen finden Sie bei der Installationsanleitung oder auf den Supportseiten des Clients.
Kann die Verschlüsselung immer eingesetzt werden?
Nur wenn auch der Empfänger ein S/MIME Zertifikat im Einsatz hat kann eine Verschlüsselung der E-Mails stattfinden.
Wie findet der Austausch der Keys statt?
Um die Verschlüsselung zu aktivieren muss erstmal eine signierte E-Mail an den Empfänger geschickt werden, dieser antwortet dann mit einer von ihm signierten E-Mail. Erst jetzt können beide Seiten verschlüsselte E-Mails an den jeweils anderen Kontakt versenden.
Ist der Austausch der Keys eine einmalige Sache?
Dieses Vorgehen ist bei allen Kontakten notwendig wenn hier künftig verschlüsselt kommuniziert werden soll. Jedoch erfolgt der Schlüsseltausch nur einmalig mit jedem Kontakt innerhalb der Laufzeit.
Kann man sehen ob eine E-Mail verschlüsselt bzw. signiert wurde?
Ja. In den Mails wird in der Kopfzeile mit Symbolen angezeigt ob eine Signatur oder Verschlüsselung vorliegt. Ein Briefkuvert steht für Signatur und ein Schloss für Verschlüsselung der E-Mail. Je nach Client können die Symbole auch anders aussehen. Durch das Klicken eines der Symbole erhalten Sie detaillierte Informationen zu dem verwendeten Zertifikat und dem Inhaber.
Beim Versenden einer verschlüsselten Mail erhalte ich den Hinweis das die E-Mail nicht gesendet werde konnte. Woran liegt das?
Entweder wurde der Schlüsseltausch noch nicht vollzogen oder der Kontakt setzt kein S/MIME Zertifikat ein.
Der Austausch der Schlüssel ist erfolgt. Jedoch kann der Empfänger meine Mails nicht lesen. Woran liegt das?
Sehr wahrscheinlich liegt Ihnen von dem Kontakt ein alter oder falscher Schlüssel vor. Um dies zu beheben löschen sie den Kontakt UND das gespeicherte Zertifikat aus Ihrem Client und legen den Kontakt dann neu an. Somit wird der neue Schlüssel gespeichert und das Versenden von verschlüsselten E-Mails funktioniert.
Was passiert nach der Verlängerung eines S/MIME Zertifikates?
Das neue Zertifikat muss auf den Client neu eingespielt werden. Da hier nach der Ausstellung ein neues Schlüsselpaar generiert wurde ist es zwingend notwendig den Tausch mit den Kontakten erneut durchzuführen. Da der alte Key nicht mehr gültig ist kann hier ohne vorherigen Schlüsseltausch kein Versand von verschlüsselten E-Mails stattfinden!
Mein Zertifikat ist abgelaufen. Kann ich dann noch verschlüsselte E-Mails lesen?
Ja. Zumindest wenn der Key des Versenders während der Gültigkeit Ihres eigenen S/MIME Zertifikates gespeichert wurde. Mit neuen Kontakten kann natürlich kein Austausch des Keys erfolgen und daher auch keine verschlüsselte E-Mail angenommen werden.
Ich habe mein S/MIME Zertifikat nicht mehr. Was nun?
Sollten Sie kein Backup Ihres Zertifikates haben bleibt Ihnen nur das S/MIME Zertifikat neu ausstellen zu lassen. Nach dem Re-Issue gilt die gleiche Vorgehensweise wie nach einem Re-Newal. Wir empfehlen zwingend ein Backup des Zertifikates vorzunehmen. Eine Anleitung hierzu finden Sie ebenfalls in der Hilfe bzw. der Anleitung Ihres Clients.
Wo kann ich prüfen ob das Zertifikat korrekt installiert wurde?
Wenn das Zertifikat korrekt installiert wurde dann ist dieses im Zertifikatsverzeichnis des Browsers zu sehen. Das S/MIME Zertifikat muss im Zertifikatsordner „Personal“ oder „ihre Zertifikate“ liegen.
Das Zertifikat liegt in einem anderen Ordner. Was tun?
Dann wurde das Zertifikat nicht mit dem Private Key installiert. Hier muss dann zwingend ein Reissue beantragt und die Installation neu gestartet werden.
Was tun wenn das Passwort zur Abholung des Zertifikates vergessen wurde?
In diesem Fall muss der bestehende Auftrag abgebrochen und die Order neu platziert werden. Wenden Sie sich hierzu an den Support.
In dem ausgestellten Zertifikat sind falsche Daten wie z.B. der Name enthalten. Wie können die enthaltenen Informationen angepasst werden?
Leider gar nicht. Sobald der Auftrag bei GlobalSign eingegangen ist können die eingetragenen Daten nicht mehr angepasst werden. Hier muss der Auftrag abgebrochen und neu eingestellt werden. Bitte wenden Sie sich hierzu an den Support.
Ist es möglich ein S/MIME Zertifikat auf mehreren Rechnern, z.B. Workstation und Laptop, zu verwenden?
Ja. Das Zertifikat kann auf mehreren Geräten verwendet werden. Dazu muss das Zertifikat nur exportiert und dann auf den anderen Geräten importiert werden.
GANZ WICHTIG: Bei der Erstinstallation des Zertifikates muss die Option gesetzt werden dass der private Schlüssel exportierbar ist. Sonst kann das Zertifikat nicht auf den anderen Geräten genutzt werden.