zum Inhalt springen

Verschlüsseln und Signieren von E-Mails mit S/MIME

An der Universität zu Köln können E-Mails per S/MIME (Secure Multipurpose Internet Mail Extensions) signiert und verschlüsselt werden. Die Nutzung von S/MIME ist Beschäftigten der UzK vorbehalten (nicht von SHKs oder Studierenden). Zur Nutzung ist ein persönliches Zertifkat erforderlich, das beim RRZK-Helpdesk beantragt werden kann.

Funktionsprinzip von S/MIME

Bei einer S/MIME basierten Verschlüsselung wird für jeden Nutzer ein zusammengehöriges Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel erzeugt.

Mit Hilfe der beiden Schlüssel können auf zwei unterschiedliche Arten vertrauliche Daten mit anderen S/MIME-Nutzern ausgetauscht werden:

  • Ein Sender A verschlüsselt eine Nachricht mit dem öffentlichen Schlüssel eines Empfängers B (den er zuvor per signierter Mail o.ä. erhalten hat). Daraufhin kann nur B mit seinem privaten Schlüssel die Nachricht dechiffrieren und lesen.
  • Ein Sender A versieht eine Nachricht mit seiner persönlichen Signatur, die mit Hilfe seines privaten Schlüssels erzeugt wurde. Empfänger B kann dann anhand des öffentlichen Schlüssels von A dessen Identität verifizieren.

Der öffentliche Schlüssel (im S/MIME-Kontext: das Zertifkat) wird von einer Zertifizierungsstelle (CA) zertifiziert und dem Nutzer per E-Mail mitgeteilt.

Der private Schlüssel wird bei der Antragstellung automatisch im Browser generiert und im Zertifikatspeicher des Browsers gespeichert (öffentliche PC-Pools sind für eine Beantragung demnach denkbar ungeeignet). Gegebenenfalls ist der private Schlüssel im Anschluss aus dem Browser zu exportieren und in ein E-Mail-Programm zu importieren, um S/MIME basierten Verschlüsselung nutzen zu können (abhängig vom Betriebssystem, Regelfall unter Windows und Linux, bitte konsultieren Sie ggf. Anleitungen zu Ihrer eingesetzten Software).
Es wird ersichtlich, dass der private Schlüssel bei dieser Art der Verschlüsselung eine zentrale Rolle einnimmt. Demnach sollte der Umgang mit diesem entsprechend sensibel erfolgen.

Beantragung eines Zertifikats bzw. eines öffentlichen Schlüssels

Alle Beschäftgigten der Universität zu Köln (außer Studierende und Studentische Hilfskräfte) können bei der Zertifizierungsstelle CA der UzK ein Zertifikat beantragen.

Die Beantragung selbst erfolgt dabei in mehreren Schritten. Zu beachten ist dabei, dass diese mit demselben Computer und mit demselben Browser durchgeführt werden muss. Andernfalls scheitert die Beantragung.

1.  Besuchen Sie die Webseite des DFN und klicken dort in der Menüleiste auf "Nutzerzertifikat". Verwenden Sie hierzu als Browser am besten Mozilla Firefox oder den Internet Explorer (auf Apple-Computer funktioniert auch Safari). Nicht funktionieren Chrome und Edge.

2. Füllen Sie auf der nachfolgenden Webseite alle erforderlichen Felder aus und klicken anschließend auf "Weiter". Bitte beachten Sie dabei:
- Die E-Mail-Adresse, die von Ihnen anzugeben ist, muss jener entsprechen, die Sie aktiv verwenden und über welche Sie signierte und verschlüsselte E-Mails versenden und empfangen möchten. Dies bedeutet, dass Sie dort entweder Ihre Standard-E-Mail-Adresse ("accountname@uni-koeln.de") oder Ihren angelegten E-Mail-Alias (zum Beispiel "vorname.nachname@uni-koeln.de") verwenden können.
- Die "PIN" bzw. das Passwort ist von Ihnen selbst zu vergeben. Bitte (ver)merken Sie sich dieses gut, da Sie damit das Zertifikat sperren können.

3. Überprüfen Sie die eingegeben Daten und klicken auf "Bestätigen".

4. Klicken Sie nun auf "Zertifikatsantrag anzeigen" und drucken diesen aus. Unterschreiben Sie ihn und kommen damit im RRZK-Helpdesk im Accountbüro vorbei. Dort wird Ihr Zertifikatsantrag verifiziert (bitte bringen Sie Ihren Personalausweis mit). Im Anschluss erhalten Sie zur Bestätigung eine E-Mail an die im Antrag angegebene E-Mail-Adresse.

5. In der Bestätigungs-E-Mail, die Sie erhalten haben, befinden sich zwei Links (Der Anhang der E-Mail, eine Datei vom Typ ".pem" kann ignoriert werden). Öffnen Sie den zweiten Link nun in demselben Browser, mit Sie das Zertifikat beantragt haben.
(Der erste Link ermöglicht den Import der Zertifikate der Zertifizierungsstelle, die das persönliche Zertifikat ausgestellt hat. Diese Zertifikate sind zur Überprüfung der Gültigkeit des Zertifikats erforderlich. Der Import erübrigt sich aber in fasten allen Fällen, da die Zertifikate (der Universität zu Köln, des DFN und der Deutschen Telekom) mittlerweile in den gängigen Browser bereits enthalten sind.)

6. Klicken Sie nun auf der Webseite auf "Zertifikat importieren" und geben Sie anschließend die bei der Beantragung die von Ihnen vergebene PIN ein. Je nach Borwser erhalten Sie über den erfolgreichen Import eine Meldung (das Nicht-Erscheinen einer Meldung sagt nichts über einen nicht-gelungenen Import aus).
Unter Mac-OS wird durch das Klicken auf "Zertifikat importieren" und dem Eingeben der PIN der Download des Zertifikats gestartet. Nun wechselt man in den Downloads-Ordner im Finder. Durch einen Doppelklick auf die heruntergeladene Datei (mit der Endung .pem) (siehe Bild 3) öffnet sich die Schlüsselbundverwaltung und das Zertifikat wird auf dem Mac eingerichtet. Finden lässt es sich im Schlüsselbund unter "Anmeldung" in der Unterkategorie "Meine Zertifikate".

Exportieren/Speichern des Zertifikats

Um das Zertifikat zu sichern sowie zur Verwendung in den meisten E-Mail-Clients, müssen dieses im Browser exportieren bzw. speichern. Je nach Browser ist unterschiedlich vorzugehen.

Mozilla Firefox

Um das persönliche Zertifkat aus Firefox zu exportieren, wählt man in den Einstellungen die Option "Datenschutz & Sicherheit" und scrollt ganz nach unten. Dort klickt man auf die Option "Zertikate anzeigen...".

Im neuen Fenster wählt man den Reiter "Ihre Zertifikate", markiert das entsprechende Zertifkat (zu finden unter dem Namen "Verein zur Foerderung eines Deutschen Forschungsnetzes e.V." bzw. Ihrem Namen) und klickt auf "Sichern...". Anschließend ist noch ein Dateiname für das Zertifikat und ein Passwort zu vergeben.

Safari

Bei Verwendung des Safari unter MacOS kann die beim Import heruntergeladene Datei (s.o.) zur weiteren Verwendung benutzt werden. Ist diese nicht mehr vorhanden, kann das Zertifikat auch nachträglich exportiert werden.

Rufen Sie hierzu die Schlüsselbundverwaltung auf und dort die Unterkategorie "Meine Zertifikate", wo Sie das Zertifkat unter Ihrem Namen finden (siehe Bild 1). Klicken Sie nun per Rechtsklick auf das Zertifikat und wählen " '<Name der Zertifikats>' exportieren... ".
Nun öffnet sich ein weiteres Fenster (Bild 2). Vergeben Sie hier einen Namen für das Zertifikat, den gewünschten Speicherort und das Format gewählt werden (verwenden Sie am besten "Personal Information Exchange (.12)").
Nach dem Klick auf "Sichern" müssen Sie die Datei noch einem Passwort versehen werden (Bild 3), das im unteren Feld bestätigt werden muss.
Anschließend müssen Sie noch das Passwort für die Schlüsselbundverwaltung eingeben (Bild 4) (normalerweise handcelt es sich hierbei um das Ihnen bekannte Admin-Passwort Ihres Macs). Das Zertifkiat befindet sich nun im gewünschten Ordner.

Kontakt
Bei Fragen und für eine individuelle Beratung wenden Sie sich bitte an den RRZK-Helpdesk