Jeder spricht von Verschlüsselung aber nur die wenigsten tun es auch. Ich möchte hier zeigen, wie man sich ein S/Mime Zertifikat erstellt, dieses von einer Zertifizierungsstelle (hier Certum) signieren lässt und letztlich nutzen kann.
Vorweg eines: Es gibt sehr viele Anbieter für Zertifikate. Ich habe mich für ein S/Mime Zertifikat ausgestellt von der Certum.pl von der Webseite
PSW.net entschieden.
Wichtig: Diese Anleitung ist nur ein Beispiel und soll euch zeigen, wie einfach es ist, dieses Prozess zu durchlaufen. Der Prozess ein CSR zu erstellen mag einfach aussehen, ist aber doch kompliziert und setzt ein maß an Wissen voraus. Sollte eure Ausstellung scheitern, so könnt ihr mich dafür nicht haftbar machen.
Lest euch bitte vorher einmal alles durch :-)
Als erstes muss ein Key erstellen, gerne 4096-Bit:
$ openssl genrsa -out mein.key -des3 4096
Nun kann der Signing-Request erstellt werden. Dieser wird später zum signieren an die Zertifizierungsstelle geschickt.
$ openssl req -new -key mein.key -out mein.csr
Jetzt aufpassen!
Bitte achte darauf keine Umlaute wie ä, ö, ü und kein „ß“ im CSR zu verwenden.
Common Name: Vorname Nachname
Organization: Organisationsname (der Organisationsname muss mit den Angaben im Identitätsnachweis [z.B. Personalausweis, Gewerbenachweis, Handelsregisterauszug oder DUNS Nummer] übereinstimmen)
Organization unit: Abteilungsname (frei wählbar)
E-Mail: Die E-Mail-Adresse die Du für S/Mime nutzen willst
Locality: Ort
Country: Ländercode z.B. DE
Achtung: KEIN Challenge-Password vergeben!
Die Datei mein.csr nun mit einem Scan Deines Personalausweises an den Support von PSW schicken (Ticket-Nummer beachten). Dort wird sich um die Weiterleitung des ganzes gekümmert.
Als nächstes bekommt ihr eine Verifizierung Anfrage für die E-Mail. Die sollte man natürlich bestätigen :-) Nach wenigen Stunden erhaltet Ihr eine Fertigmeldung für euer Zertifikat. Ladet alle Dateien runter, speichert diese sicher (inklusive key) ab.
Jetzt verheiratet man die Dateien zu einem Format, dass (fast) jeder Rechner oder Handy versteht:
$ openssl pkcs12 -export -in file_von_der_signierungsstelle.pem -inkey mein.key -out Meine_Adresse_SIGNED-till-2018.pfx
Beim erstellen der .pfx Datei werdet ihr nach einem Passwort gefragt. Nehmt eines, dass auch sicher ist! 1234567 ist es nicht.
Die so erstellte .pfx Datei kann nun auf dem MAC in die Schlüsselverwaltung importiert werden. Öffnet einfach die .pfx mit einem doppelklick, bestätigt den Import, gebt das Passwort ein. Fertig.
Naja. Fast. Jetzt kann das Zertifikat sofort im Adobe Acrobat Read benutzen werden um eine PDF Datei zu signieren. Damit das Zertifikat auch in eurem Mailclient benutzt werden kann, bedarf es noch ein wenig Arbeit. Schaut dazu mal bei https://gpgtools.org vorbei.
Zuletzt bearbeitet am 30.01.2015