-
Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.
[gelöst] CAcert Zertifikate in K-Mail
- Ersteller P6CNAT
- Erstellt am
OP
Hallo zusammen,
nach langer Zeit und inzwischen mit openSUSE 12.3 und Kontact 4.10 ist das Problem gelöst.
1. Zunächst habe ich das Zertifikat als CRT Datei von CAcert heruntergeladen.
2. Dann die CRT Datei in den Firefox importiert.
3. Das Zertifikat vom Firefox als P12 Datei exportiert und in Kleopatra importiert.
4. Mit dem so aufbereiteten Zertifikat kann ich in Kmail signieren und verschlüsseln.
Die Schritte 2 und 3 kann man vermutlich auch mit einem Shell-Kommando machen. Das probiere ich beim nächsten mal.
Grüße
Georg
nach langer Zeit und inzwischen mit openSUSE 12.3 und Kontact 4.10 ist das Problem gelöst.
1. Zunächst habe ich das Zertifikat als CRT Datei von CAcert heruntergeladen.
2. Dann die CRT Datei in den Firefox importiert.
3. Das Zertifikat vom Firefox als P12 Datei exportiert und in Kleopatra importiert.
4. Mit dem so aufbereiteten Zertifikat kann ich in Kmail signieren und verschlüsseln.
Die Schritte 2 und 3 kann man vermutlich auch mit einem Shell-Kommando machen. Das probiere ich beim nächsten mal.
Grüße
Georg
OP
Hallo Peter,
Geduld und Hartnäckigkeit zahlen sich eben aus
Anlass war, dass mir kürzlich jemand eine CAcert signierte Mail geschickt hat die gültig angezeigt wird. Also hat die Signaturkette schon mal funktioniert.
Durch Suche im Internet (Ixquick, nicht Google) bin ich dann auf die seltsame Lösung mit Umweg über Firefox gestoßen.
Grüße
Georg
Geduld und Hartnäckigkeit zahlen sich eben aus
Anlass war, dass mir kürzlich jemand eine CAcert signierte Mail geschickt hat die gültig angezeigt wird. Also hat die Signaturkette schon mal funktioniert.
Durch Suche im Internet (Ixquick, nicht Google) bin ich dann auf die seltsame Lösung mit Umweg über Firefox gestoßen.
Grüße
Georg
Na dann bekommst du "doch noch einen drauf" ;-)
Die "Lösung mit dem Firefox" ist gar nicht mal so ungewöhnlich, sondern macht echt Sinn.
Was passiert denn, wenn du dir von einem Trustcenter ein "Zertifikat" holst?
Viele Leute hauen "Zertifikat" und "Schlüsseldatei" in einen Topf - und mitunter übergeben sie sogar letztere an ihre Mailpartner :-( Mitunter werden "Schlüsseldateien" auch als "Softtoken" (im Unterschied zu Signaturkarten mit Chip = Hardwaretoken) bezeichnet.
OK?
MfG Peter
Die "Lösung mit dem Firefox" ist gar nicht mal so ungewöhnlich, sondern macht echt Sinn.
Was passiert denn, wenn du dir von einem Trustcenter ein "Zertifikat" holst?
- Dein eigener Browser (und nicht etwa das Trustcenter!) generiert ein Schlüsselpaar bestehend aus dem geheimen/privaten und dem öffentlichen Schlüssel,
- dann wird dem Trustcenter bei der Zertifikatsbeantragung ein so genannter Zertifikatsrequest übergeben, welcher aus den Zertifikatsdaten (Name, Vorname, E-Mailadresse, Land, evtl. auch Bundesland und Ort und mitunter auch weitere Daten) und dem öffentlichen Schlüssel besteht. Dabei bleibt der private Schlüssel auf deinem Rechner!
- Das Trustcenter ergänzt die hochgeladenen Informationen des Zertifikatsrequests mit seinen eigenen Angaben (Name der CA, Herausgeberzertifikat usw.), dem Beginn und dem Ende der Gültigkeit des Zertifikats und signiert das ganze noch mit dem privaten Schlüssel des Herausgebers. Damit ist das Zertifikat sozusagen "versiegelt" und vor Manipulation geschützt.
- Jetzt lädt dein Browser das erzeugte Zertifikat (noch mal: Zertifikat = deine eigenen Angaben + dein öffentlicher Schlüssel + Daten des TC + Signatur durch TC) herunter und ergänzt es mit dem in der Kryptoengine des Browsers gespeicherten privaten Schlüssel. Von dort aus kannst du diese Zusammenfassung als so genannte Schlüsseldatei (p12 oder pfx, mitunter auch pem) herunterladen und speichern. Für den Schutz dieser Schlüsseldatei kannst und solltest du ein richtig gutes Passwort wählen, aus welchem der symmetrische Schlüssel für die Verschlüsselung des Inhalts dieses Containers erzeugt wird. Es kann auch ein sehr gutes PW sein, denn du benötigst es nur beim Import in den "Kryptovariablenspeicher" des Betriebssystems (=> Kleopatra) oder auch eines Mailclients mit eigenem Sicherheitsspeicher wie es beim Thunderbird der Fall ist. Von jetzt an übernimmt dieser Speicher den Schutz deines Schlüssels. Deshalb ist ein Masterpasswort für diesen Speicher auch "sehr empfohlen".
Viele Leute hauen "Zertifikat" und "Schlüsseldatei" in einen Topf - und mitunter übergeben sie sogar letztere an ihre Mailpartner :-( Mitunter werden "Schlüsseldateien" auch als "Softtoken" (im Unterschied zu Signaturkarten mit Chip = Hardwaretoken) bezeichnet.
OK?
MfG Peter
