Zum Hauptinhalt springen

Sichere E-Mails für alle?

S/MIME in der Praxis

Ein Standard zum Verschlüsseln und Signieren von E-Mails heißt S/MIME (Secure / Multipurpose Internet Mail Extensions). Dieses Verfahren baut auf einer PKI (Public Key Infrastructure) auf. Mail.UP und die gängigen E-Mail-Anwendungen ermöglichen das Einbinden von Zertifikaten. Bevor es ins Detail geht, eine kurze Erklärung:

Bei S/MIME werden digitale Zertifikate verwendet. Das ZIM ist die zuständige Registrierungsstelle (RA) für die Universität Potsdam. Mit Ihrem Account der Universität Potsdam sind Sie im Besitz von genau einer offiziellen E-Mail-Adresse (die Sie in Account.UP auswählen dürfen). Wenn Sie sich unsicher sind, wie Ihre offizielle E-Mail-Adresse lautet, können Sie unter https://testsp3.aai.dfn.de/attribute-check/index.shtml Ihre Daten prüfen. Ihre E-Mail-Adresse erscheint hinter "mail=". Für diese E-Mail-Adresse dürfen Sie ein Zertifikat beantragen.

Um Ihren Kommunikationspartnern den öffentlichen Teil des Zertifikats zukommen zu lassen, genügt der Versand einer signierten E-Mail. Die Empfänger:innen speichern diesen Teil in ihrem E-Mail-Programm. Und wenn auch sie im Besitz eines Zertifikates für ihre E-Mail-Adresse sind, können sie von nun an verschlüsselte Nachrichten mit Ihnen austauschen. S/MIME ermöglicht eine verschlüsselte Kommunikation.

Schritt für Schritt zur sicheren E-Mail

    • Bitte merken Sie sich alle vergebenen Passwörter (Zertifikat und Mail.UP "Sichere E-Mail").
    • Wenn Sie Ihre Passwörter vergessen, dann können Sie Ihre verschlüsselten E-Mails nicht mehr öffnen. Das ZIM ist in diesem Fall machtlos.

    1. Los geht's mit der Beantragung des Zertifikats und dem Import in Mail.UP

    Zertifikat beantragen

    Hier gelangen Sie zum Zertifikatsantragsprozess von unserem Partnerunternehmen Sectigo: https://cert-manager.com/customer/DFN/idp/clientgeant

    • Wählen Sie dort bitte "University of Potsdam" und authentifizieren Sie sich mit Ihren Zugangsdaten der Universität Potsdam.
    • Wählen Sie bitte das Zertifikatsprofil (Certifcate Profile) "GÉANT Personal Certificate" aus.
    • Die Gültigkeit (Term) sollte "1095 days" betragen.
    • Als Eintragsverfahren (Enrolment Method) wählen Sie bitte "Key Generation".
    • Unsere Empfehlung für den Schlüsseltyp (Key Type) lautet "RSA 4096" - wählen Sie diesen bitte aus.
    • Anschließend hinterlegen Sie bitte ein individuelles und nur Ihnen bekanntes Passwort (Password). Vergessen Sie dieses bitte nicht!

    Wichtig für die Nutzung Ihres neuen Zertifikates in Mail.UP ist, dass Sie unter "Choose key protection algorithm" die Einstellung "Compatible TripleDES-SHA1" wählen.

    Anschließend lesen Sie sich bitte den Endbenutzer-Lizenzvertrag (EULA) durch und akzeptieren Sie diesen.

    Durch den Klick auf "Submit" setzen Sie den Antragsprozess in Gang.

    Das Zertifikat wird in wenigen Augenblicken generiert und Ihnen als Datei zum Download angeboten. Sichern Sie diese Datei bitte zur späteren Verwendung.

    Anschließend muss das Zertifikat nur noch auf Ihren PC exportiert werden. Unter Windows geschieht das zum Beispiel durch Rechtsklick und die Wahl "PFX installieren" im sich öffnenden Kontextmenü.

    Bitte lesen Sie sich die Informationen für Zertifikatsinhaber durch. Wenn Sie E-Mails verschlüsseln, können diese nicht mehr vom ZIM geöffnet werden. Es ist ratsam, das Zertifikat nicht nur an einer Stelle zu speichern, sondern z.B. auch auf einer externen Festplatte. Schreiben Sie sich den Speicherort am besten auf. Vergessen Sie niemals das Passwort! Sie können sonst Ihre verschlüsselten E-Mails nicht mehr entschlüsseln.

    Mail.UP Sichere E-Mail
    • Öffnen Sie Mail.UP.
    • Unter Einstellungen > Sichere E-Mail > klicken Sie auf Schlüssel und Zertifikat importieren.
    • Vergeben Sie ein Passwort, welches nicht (unbedingt) mit dem Zertifikatspasswort übereinstimmt, das vergebene Passwort brauchen Sie später für das Versenden signierter und verschlüsselter E-Mails.
    • Wählen Sie nun die Zertifikatsdatei auf Ihrem Computer aus und bestätigen Sie den Upload mit Ihrem Passwort.
    • Bitten loggen Sie sich aus und wieder ein. Fertig, es kann losgehen mit S/MIME.

    Wenn Sie einen Zertifikatstausch vornehmen, müssen Sie das alte Zertifikat erst entfernen, bevor Sie ein neues hinzufügen können.

    Mail.UP Sichere E-Mail

    2. Ihre erste signierte E-Mail

    Mit S/MIME arbeiten

    Signieren und Zertifikat hinzufügen

    Für den verschlüsselten E-Mail-Verkehr braucht der Kommunikationspartner Ihren "Public Key". Ein einfaches Versenden einer signierten E-Mail reicht schon. Wir erinnern uns, dass wir den Public und Privat Key in Mail.UP hochgeladen haben. Also schreiben wir jetzt einfach eine signierte E-Mail und importieren das Zertifikat von unserem Kommunikationspartner. Ein kurzer Hinweis: Sie können generell alle Ihre Nachrichten signieren (Mail.UP > Einstellungen > Sichere E-Mail > alle Nachrichten signieren). Das Zertifikat Ihres Kommunikationspartners wird im Adressbuch abgespeichert und ist E-Mail-spezifisch. In den Kontaktkarten sehen Sie dann einen "Haken", wenn das Zertifikat abgespeichert wurde. 

    Signieren und Zertifikat hinzufügen

    3. Auf geht's, wir verschlüsseln eine E-Mail

    E-Mails verschlüsseln

    Nach dem Austausch einer signierten E-Mail und dem Hinzufügen des Zertifikats Ihres Kommunikationspartners sind Sie jetzt gewappnet, eine verschlüsselte Nachricht zu schreiben. "Verschlüsselt" heißt, dass diese Nachricht nur mit Ihrem Passwort geöffnet werden kann. Schlüsseldienste gibt es in der Welt von S/MIME nicht und das ZIM kann nicht helfen, wenn Sie Ihr Passwort vergessen haben. S/MIME funktioniert nach dem Schlüssel-Schloss-Prinzip. Sie haben den Public-Key von Ihrem Kommunikationspartner in Punkt 2 importiert, Ihre Nachricht wird damit "zugeschlossen" und kann nur mit dem spezifischen Passwort  geöffnet werden, welches Ihr Kommunikationspartner selber gewählt hat.

    E-Mails verschlüsseln

    Alle beschriebene Schritte beziehen sich auf das Mail.UP Webmailinterface. Wenn Sie mit einem Mailprogramm verschlüsselt arbeiten möchten, dann müssen Sie Ihr Zertifikat separat importieren:

     

    Nach oben

    SHA 256 Zertifikate in Outlook benutzen

    Um mit den SHA 256 Zertifikaten in Outlook arbeiten zu können, müssen Sie ggf. die Einstellungen ändern:

    Datei -> Optionen -> Sicherheitscenter -> Einstellungen für das Sicherheitscenter -> E-Mail-Sicherheit -> Einstellungen -> im Feld "Hashalgorithmus" dann "SHA 256" auswählen -> OK