E-Mail Verschlüsselung mit S/MIME
In diesem Hilfe-Artikel haben wir alle Themenbereiche rund um die E-Mail Verschlüsselung mit S/MIME zusammengestellt. Hier erhalten Sie Basis-Wissen und finden zusätzliche technische Erklärungen.
| In dem hier verlinken Blog-Beitrag gehen wir auf die generelle Möglichkeit von E-Mail-Verschlüsselungen ein. Für die Erstellung und Verwaltung Ihrer privaten S/MIME Schlüssel und Zertifikate sowie für die Programm-Einrichtung empfehlen wir Ihnen unser Full-Service Paket „Ready-to-go“.
mail-connect S/MIME bestellen oder verlängern
Welche S/MIME Zertifikate und Unterschiede gibt es?
- PersonalSign Basic
Dieses Zertifikat bestätigt bei Klasse 1 die Existenz einer E-Mail-Adresse als ein gültiges Postfach. In der Klasse 2 bestätigt das Zertifikat auch den Realname einer Person als Inhaber des Postfachs.
- PersonalSign Pro
Das Zertifikat in der Klasse 2 bestätigt eine natürliche Person wie bei PersonalSign Basic. Zusätzlich bestätigt das Zertifikat auch den Namen der Organisation, für die diese Person das Postfach nutzt (z.B. den Firmennamen, wie etwa "Beispielfirma GmbH"). Daraus wird ersichtlich, dass z.B. Max Mustermann als Mitarbeiter der Firma Beispielfirma GmbH schreibt. Bei Klasse 3 erfolgt die Identitätsprüfung zusätzlich durch Prüfung eines Ausweis-Dokuments.
- PersonalSign Departement
Hierbei handelt es sich um ein Klasse 2-Zertifikat welches die Existenz einer Organisation und zusätzlich den Namen einer bestimmten Abteilung bestätigt. Dieses Zertifikat kann auf Grund der Multi-User-Lizenz auch von mehreren Personen gleichzeitig verwendet werden. Typische Anwendungsbeispiele sind Beispielfirma GmbH, Buchhaltung <buchhaltung@beispieldomain.eu>, Beispielverein eV, Service <info@beispieldomain.eu> oder Beispiel AG, Personalabteilung <personal@beispieldomain.eu>.
Welche Angaben sind für den Antrag nötig?
- Die E-Mail Adresse für das zu zertifizierende E-Mail-Postfach
- Den vollständigen Namen der natürlichen Person (entfällt bei Klasse 1)
- Foto/ Kopie des Personalausweises der natürlichen Person (muss bei Klasse 3 z.B. durch PostIdent beglaubigt werden)
- Den Handelsregisterauszug der Firma (nur bei PersonalSign Pro oder Departement)
- Telefonnummer/Durchwahl des künftigen Zertifikatsinhabers (= natürliche Person - diese wird von der Zertifizierungsstelle angerufen, um den Antrag auf Rechtmäßigkeit zu prüfen.)
Ablauf der Verifizierung bis zum fertigen Zertifikat
- Sobald wir den Zertifikatsinhaber bei der Zertifizierungsstelle GlobalSign erfasst haben, wird die Bestellung bearbeitet. Sie erhalten an das Postfach für welches das S/MIME-Zertifikat bestellt wird, insgesamt 3 bis 4 E-Mails von GlobalSign.
- Wenn Sie das Setup mit dem Full-Service Paket „Ready-to-go“ bei uns beauftragt haben, leiten Sie uns diese E-Mails weiter (service@all-connect). Andernfalls überprüfen Sie die technischen Angaben in der E-Mail selbst und führen die weiteren Anweisungen selbst aus.
- Nachdem die E-Mails bearbeitet wurden, erfolgt ein Verifizierungsanruf über Telefon von der Zertifikatsstelle. Im Idealfall auf der gewünschten Telefonnummer, die Sie uns zuvor genannt haben. Dabei werden folgende Fragen abgeklärt:
- Sind Sie die Person, die das Zertifikat auf sich verifizieren will? Ja.
- Haben Sie bereits den Link aus der Mail mit dem Betreff "Approve Application" geklickt? Ja.
- Haben Sie das Zertifikat über die Firma all-connect bestellt? Ja.
- Nach Abschluss aller Identitätsprüfungen, erhalten Sie im letzten Schritt die Bestätigung von GlobalSign, dass die Daten für Ihr neues Zertifikat erfolgreich verifiziert wurden.
- Wenn Sie das Setup mit dem Full-Service Paket „Ready-to-go“ bei uns beauftragt haben, erstellen wir den Schlüssel und das Zertifikat für Sie. Je nach E-Mail-Programm konvertieren wir die Dateien auch in das richtige Format, um das Zertifikat auf Ihrem PC zu installieren. Dazu melden wir uns telefonisch bei Ihnen.
- Ohne „Ready-to-go“-Setup erstellen Sie die Schlüssel-Datei jetzt selbst. Wir empfehlen dabei eine sichere Verwaltung Ihrer Schlüssel- und Zertifikatsdateien. Achten Sie dabei v.a. auf ein sicheres, verschlüsseltes Backup dieser Daten, so dass Sie selbst bei Bedarf auf die Schlüssel noch einmal zugreifen können aber fremde Dritte Ihre digitale Identität nicht entwenden können. Zur Erstellung der X.509 Schlüssel- und Zertifikatsdateien empfehlen wir die kostenfreie Open-Source Variante "openSSL". Eine Kurzanleitung (ohne Zertifikats-Kette) gibt es hier: https://www.privacy-handbuch.de/handbuch_32g.htm. Das CSR-Handling, um die nötigen Schlüsseldaten von GlobalSign zu erhalten, nehmen Sie direkt im Webportal von GlobalSign vor. Je nach E-Mail-Programm konvertieren Sie die Dateien in das passende Format, um das Zertifikat auf Ihrem PC zu installieren. Wenn Sie Hilfe benötigen, können Sie hierfür den E-Mail-Support von GlobalSign nutzen.
S/MIME Zertifikate installieren und nutzen
Wo müssen die S/MIME Zertifikate installiert werden?
Ihr S/MIME Zertifikat muss auf Ihrem PC direkt in Ihrem E-Mail-Programm installiert werden. Eine Anleitung hierzu erhalten Sie vom Anbieter Ihres E-Mail-Programms. Gerne helfen wir Ihnen bei Bedarf auch im Rahmen unseres IT-Service, um die notwendigen Konfigurationen vorzunehmen. Oder beauftragen Sie einfach unser „Ready-to-go“ zum Festpreis.
Wie erfolgt die Verschlüsselung bzw. Signatur der E-Mails?
Die Signatur und Verschlüsselung der E-Mails kann in Ihrem Programm eingestellt werden. Entsprechende Anleitungen finden Sie bei der Installationsanleitung oder auf den Supportseiten Ihres E-Mail-Programms.
Installation nach Verlängerung eines S/MIME Zertifikates
Das neue Zertifikat muss in Ihrem E-Mail-Programm neu installiert werden. Auf Grund immer neuer Software-Versionen für das Zertifikats-Format (technische Weiterentwicklung und IT-Sicherheit) wird in den meisten Fällen auch ein neues Schlüsselpaar generiert. Dann ist es zwingend notwendig, den Schlüssel-Austausch mit Ihren Kontakten erneut durchzuführen.
Kann die Verschlüsselung immer eingesetzt werden?
Ja, sofern der Empfänger Ihrer E-Mail ebenfalls ein S/MIME Zertifikat im Einsatz hat.
Wie findet der Austausch der Schlüssel statt?
Um die Verschlüsselung zwischen zwei Postfächern zu aktivieren, müssen die jeweiligen Sender und Empfänger zuerst eine signierte E-Mail hin und her senden. Erst wenn beide Seiten die jeweils andere Signatur einmal empfangen haben, können nun beide Seiten auch verschlüsselte E-Mails an den jeweils anderen Kontakt senden (und empfangen).
Ist der Austausch der Schlüssel eine einmalige Sache?
Das o.g. Vorgehen muss mit jedem Kontakt erfolgen, mit dem Sie künftig verschlüsselt kommunizieren möchten. Sollte sich das Zertifikat bzw. der Schlüssel eines Kommunikationspartners ändern, muss der Signatur-Prozess wiederholt werden.
Kann man sehen ob eine E-Mail verschlüsselt bzw. signiert wurde?
Ja. In den Mails wird in der Kopfzeile mit Symbolen angezeigt ob eine Signatur oder eine Verschlüsselung vorliegt. Ein Briefkuvert steht für Signatur und ein Schloss für Verschlüsselung der E-Mail. Je nach Client können die Symbole auch anders aussehen. Durch das Klicken eines der Symbole erhalten Sie detaillierte Informationen zu dem verwendeten Zertifikat und dem Inhaber.
Nach Ablauf des Zertifikats verschlüsselte E-Mails lesen
Solange der (alte) private Schlüssel zu Ihrem Zertifikat weiter erhalten bleibt, können Sie unbegrenzt auf Ihre bisherigen, verschlüsselten E-Mails zugreifen. Sie können allerdings keine neuen verschlüsselten E-Mails mehr empfangen oder senden.
Ein S/MIME Zertifikat mehrfach verwenden
Die CA-Lizenz gilt immer für eine (1) natürliche Person und beliebig viele Geräte. Sie können Ihr Zertifikat also auf mehreren Geräten installieren.
Wenn das Zertifikat von mehreren Personen genutzt werden soll, benötigen Sie eine Multi-User-Lizenz, welche Sie mit dem PersonalSign Departement Zertifikat erhalten.
Fehlerbehebung
Der verschlüsselte Versand ist nicht möglich
Entweder wurde der Schlüssel-Austausch noch nicht vollzogen oder der Kontakt setzt kein S/MIME Zertifikat ein.
Der Empfänger kann meine Mails nicht lesen
Wahrscheinlich liegt Ihnen von dem Kontakt ein alter oder falscher Schlüssel vor. Um dies zu beheben löschen sie den Kontakt UND das gespeicherte Zertifikat aus Ihrem Client und legen den Kontakt dann neu an. Somit wird der neue Schlüssel gespeichert und das Versenden von verschlüsselten E-Mails funktioniert.
Ich habe mein S/MIME Zertifikat verloren
Sollten Sie Ihr Zertifikat verloren haben (z.B. Festplattenfehler), benötigen Sie ein Backup Ihres privaten Schlüsselpaares und Ihres Zertifikates. Dieses Backup sollte unbedingt verschlüsselt erfolgen, um Ihre digitale Identität zu schützen.
Wenn Sie das ursprüngliche Zertifikate-Setup mit dem Full-Service Paket „Ready-to-go“ bei uns beauftragt haben, können Sie eine Wiederherstellung Ihrer S/MIME Dateien bei uns beantragen. Falls Sie ansonsten kein Backup Ihrer S/MIME Dateien besitzen oder falls diese Dateien in fremde Hände gelangt sind, weil das Backup nicht ausreichend verschlüsselt war, muss das Zertifikat neu beantragt werden.
Wie kann ich mein Zertifikat überprüfen?
Wenn das Zertifikat korrekt installiert wurde, finden Sie dieses im Zertifikatsspeicher Ihres E-Mail-Programms im Zertifikatsordner „Personal“ bzw. „Ihre Zertifikate“. Je nach E-Mail-Programm liegen die Zertifikate ggf. auch im globalen Zertifikatsspeicher Ihres Betriebssystems (Microsoft Windows oder Apple OS X).
Wenn das Zertifikat in einem anderen Ordner liegt, wurde das Zertifikat ggf. falsch bzw. ohne Ihren privaten Schlüssel installiert. In diesem Fall wiederholen Sie die Installation und folgen Sie den Anleitungen Ihres E-Mail-Programms.
GlobalSign Transaktionspasswort vergessen
Das Transaktionspasswort benötigen Sie nur, wenn Sie Ihre S/MIME Dateien und den Schlüssel und das Zertifikat im Webportal von GlobalSign selbst erstellen. Das Transaktionspasswort darf nicht verloren gehen, da damit die S/MIME Daten verschlüsselt übertragen werden. Eine Wiederherstellung bzw. das Zurücksetzen ist nicht möglich. In diesem Fall wird der bestehende Auftrag abgebrochen und die Bestellung muss kostenpflichtig neu platziert werden.
Wenn Sie das Zertifikate-Setup mit unserem Full-Service Paket „Ready-to-go“ beauftragt haben, entfällt das Transaktionspasswort, da Sie das Zertifikat direkt über uns erhalten und wir es für Sie installieren.
Namen oder E-Mail-Adresse im Zertifikat ändern
Die Änderung eines Zertifikats ist nicht möglich. Die Verifizierung durch GlobalSign kann nur im Rahmen eines neuen Zertifikats beantragt werden.
Full-Service Paket mit „Ready-to-go“-Setup
Im Rahmen unseres IT-Service bieten wir Ihnen die fertige Einrichtung auf Ihrem PC an. Darin enthalten sind auch alle technischen Arbeiten zur Schlüsselerstellung inkl. TrustCenter-Service:
- Schlüssel- und CSR-Erstellung inkl. CA-Handling
- Secure-Backup Schlüssel-Datei inkl. Zertifikats-Kette
- Lieferung der PFX-Datei für weitere Clients (optional)
- Programm-Einrichtung am bestehenden E-Mail-Konto - Sie können anschließend sofort verschlüsselt senden und empfangen!
Zusätzliche Leistungen (z.B. Schulung, Beratung oder weitere Installationen auf mehreren Geräten) werden im Rahmen unseres IT-Service nach Aufwand verrechnet.