S/MIME-Benutzung mit Internet Explorer und Outlook

Im Folgenden wird die Installation eines Zertifikats und die Nutzung von S/MIME (vergleiche S/MIME) in MS Oulook beschrieben. Dabei wird als Beispiel ein persönliches Zertifikat des Universität zu Köln zugrunde gelegt. Das Prozedere sollte aber dasselbe sein, wenn andere Zertifikate verwendet werden. Es sei noch angemerkt, dass im Zusammenhang mit S/MIME persönliches Zertifikat und privater Schlüssel synonym verwandt werden.

Installation des Zertifikats im Browser Internet Explorer

Vorab eine Anmerkung zu den Passworten: Im Laufe der Beantragung und der anschließenden Installation des Zertifikats müssen drei Passworte festgelegt werden, die auch in den einzelnen Installationsschritten wie auch später beim Signieren und Verschlüsseln erfragt werden: für die Zertifikatsverwaltung, das Master-PW und eines für die Sicherheitskopie. Es erleichtert das Arbeiten und beeinträchtigt nicht die Sicherheit, wenn alle drei Passworte gleich gewählt werden.

Zertifikate können online bei der Zertifizierungsstelle der Uni Köln beantragt werden:

Webinterface zur Beantragung von Zertifikaten

Anschließend erhält man eine E-Mail mit zwei Links:

  • Der erste Link (Schnittstelle für Nutzer und Administratoren - CA-Zertifikate) ermöglicht den Import der Zertifikate der Zertifizierungsstelle, die das persönliche Zertifikat ausgestellt hat. Diese Zertifikate sind zur Überprüfung der Gültigkeit des persönlichen erforderlich. Der Import erübrigt sich aber im Falle des Internet Explorer, da diese Zertifikate (der Universität zu Köln, des DFN und der Deutschen Telekom) im Browser bereits enthalten sind.
  • Der zweite Link (Laden des beantragten Zertifikats) importiert das persönliche Zertifikat in den Browser. Dies muss am selben Rechner mit demselben Browser vorgenommen werden, auf dem auch das Zertifikat beantragt worden war. Hierbei muss gleichzeitig eine Sicherungskopie angelegt werden, eine Datei vom Typ .p12. Der dazugehörige öffentliche Schlüssel wird dagegen automatisch auf einem Server der Zertifizierungsstelle (hier der DFN) bereitgestellt.
  • Der Anhang der E-Mail, eine Datei vom Typ .pem kann ignoriert werden.

Das Zertifikat sollte nun im Browser sichtbar sein, und zwar unter
  Extras -> Internet Optionen-> Inhalte -> Zertifikate -> Eigene Zerifikate

Screenshot

Import des Zertifikats im E-Mail-Programm Outlook

Der Import des persönlichen Zertifikats erfolgt über
   Extras -> Vertrauensstellungscenter -> E-Mail-Sicherheit
Dort sollte dann unter Digitale IDs mittels Wahl von Importieren auf die anfangs erstellte Sicherungskopie des persönlichen Zertifikats zugegriffen werden. Dabei muss ein frei wählbarer Name für das Zertifikat vergeben werden, zum Beispiel folgendermaßen:

Screenshot

Wichtig an dieser Stelle: das Zertifikat kann nur für ein Konto benutzt werden, das exakt die Absendeadresse besitzt, für die es beantragt worden war. Die Zuordnung zum entsprechenden Konto erfolgt automatisch, sofern eines den passenden Absender enthält.

An der oben angegebenen Stelle
   Extras -> Vertrauensstellungscenter -> E-Mail-Sicherheit
ist auch eine Einstellung möglich, dass alle ausgehenden Briefe eine digitale Signatur enthalten sollen. Dies führt zu keinerlei Beeinträchtigungen, falls der Empfänger S/MIME nicht einsetzt, kann aber zu Irritationen führen: Je nach verwendetem E-Mail-Programm erscheint die nicht erkannte Signatur als kryptische Ziffernfolge oder als Anhang mit kryptischen Informationen. Dies trifft insbesondere auf die Webmail-Systeme zu. Anders bei verschlüsselten Briefen: Wenn der Empfänger beziehungsweise das verwendete Programm mit der S/MIME-Verschlüsselung nicht umgehen kann, kann der Empfänger die E-Mail auch nicht lesen.

Signieren beziehungsweise Verschlüsseln eines Briefes

Beim erstmaligen Signieren beziehungsweise Verschlüsseln eines Briefes erscheinen die dafür erforderlichen Buttons noch nicht in der Menüleiste des Outlook-Editors. Dazu ist zunächst auf den Pfeil rechts unten neben Optionen zu klicken:

Screenshots

Im sich dann öffnenden Fenster ist zunächst Sicherheitseinstellungen zu drücken:

Screenshot

dann je nach Wahl ...verschlüsseln  beziehungsweise ...signieren

Screenshot

Bei den nächsten Malen werden dann automatisch Buttons mit entsprechenden Icons angezeigt: ein Brief mit rotem Siegel für das Signieren beziehungsweise mit einem blauen Schloss für das Verschlüsseln:

Eine Kontrollanzeige für die gewählte Sicherheitseinstellung wie etwa bei Outlook Express gibt es bei Outlook nicht.

Beim Signieren werden Teilinformationen des Briefes dann mit dem persönlichen Zertifikat verschlüsselt, so dass der Empfänger, sofern er S/MIME in seinem E-Mail-Programm einsetzt, über den öffentlichen Schlüssel die Signatur erkennen kann. In Outlook werden signierte E-Mails durch das Icon  gekennzeichnet.

Beim Verschlüsseln wird der Brief dann mit dem öffentlichen Zertifikat des Empfängers verschlüsselt, so dass der Empfänger, sofern er S/MIME in seinem E-Mail-Programm einsetzt, über seinen privaten Schlüssel die E-Mail entschlüsseln kann. Hierzu wird der Empfänger zur Eingabe seines S/MIME-Master-Passworts aufgefordert. In Outlook werden verschlüsselte E-Mails durch das Icon  gekennzeichnet.

Kontakt

RRZK-Helpdesk
Weyertal 121
50931 Köln
Telefon
(0221) 470-89555
Kontaktformular

Öffnungszeiten