Benutzer-Zertifikate mit Mozilla-Applikationen

Firefox

Mozilla Firefox und Mozilla Thunderbird besitzen einen eigenen Zertifikatsspeicher, da sie für unterschiedliche Betriebssysteme konzipiert sind. Deshalb müssen Zertifikate in jede Anwendung importiert werden. Der Zertifikatsspeicher ist in jedem Fall durch ein sogenanntes Master-Passwort zu schützen.

In der folgenden Anleitung wird die Generierung eines Nutzer- oder User-Zertifikats beschrieben, sowie der Export der Zertifikats (bestehend aus einem Schlüsselpaar mit öffentlichem und privatem Schlüssel), Speicherung als passwortgeschützte PKCS12-Datei. Anschliessend wird das Zertifikat in Mozilla Thundebird importiert und dient dort der Signatur/Verschlüsselung von Emails. Generierung eines User-Zertifikats mit Mozilla Firefox ( 3.0.13, deutsch unter Ubuntu-Linux)

1. Setzen Sie das Master-Password unter Einstellungen → Sicherheit:

Nach jedem Neustart von Firefox werden Sie nach dem Master-Passwort gefragt. Sie können auch den Haken vor „Passwörter speichern“ setzen, dann sind auch die gespeicherten Passwörter geschützt.

2. Generieren Sie ein User-Zertifikat auf der öffentlichen TU Clausthal CA - Seite

TUC-CA-Seite

Die PIN (ein Passwort zum Widerruf der Zertifikats muss eingegeben werden, mind. 8 Zeichen!) Die beiden Haken für die Anerkennung der Zertifizierungsrichtlinie bzw. Zustimmung zur Veröffentlichung des Zertifikats müssen gesetzt sein.

3.Die Angaben werden zur Überprüfung noch einmal angezeigt.

4. Nach Berechnung des Schlüssels wird ein Zertifikatsantrag generiert, der vollständig ausgefüllt der Registrierungsstelle der TU Clausthal CA im Rechenzentrum vorgelegt werden muss.

Herr Marg, Herr Hasenfuß und Herr Ebeling sind die von der DFN-PKI ermächtigten Personen, die das Zertifikat anschliessend signieren. Folgender Schritt wird von der TUC RA ausgeführt, und sei der Vollständigkeit halber hier aufgeführt:

5. Nach erfolgter Registrierung erhalten Sie von der DFN-PKI an die im Zertifikat angegeben Email-Adresse eine Nachricht in der unter Punkt 2, „Ihr eigenes Zertifikat erhalten Sie direkt über folgenden Link“ ein Link zum Download des Zertifikates angegeben ist.

Diesen Link öffnen Sie bitte mit genau dem gleichen Browser(-Profil) mit dem Sie auch das Zertifikat beantragt haben. Nur so kann das Schlüsselpaar aus dem Privatschlüssel, der beim Antrag in ihrem Browser generiert wurde, und dem beantragten Zertifikat zusammengefügt werden.

6. Die Einbindung in den Zertifikatsspeicher von Firefox erfolgt gegebenenfalls ohne weitere Rückmeldung

Hier schon:

7. Über Einstellungen - Erweitert - Zertifikate anzeigen können Sie sich das User-Zertifikat im Zertifikats-Manager ansehen

(Hier sind 3 von mir verwendete Zertifikate zu sehen. Das obere ist das neu hinzugekommene Zertifikat)

8. … und das Zertifikat bzw. Schlüsselpaar als PKCS12-Datei exportieren. Diese Datei ist unbedingt sicher aufzubewahren, da der private Schlüssel darin enthalten ist:

Import des Zertifikates in Mozilla Thunderbird (2.0.0.23, deutsch unter Ubuntu Linux)

1. Setzen Sie zuerst das Master-Passwort im Thunderbird unter Bearbeiten - Darstellungen - Datenschutz

2. Import des Zertifikates unter Bearbeiten - Einstellungen - Zertifikate:

Sie werden nach einem Master-Passwort gefragt, welches den Zertifikatsspeicher des Mozilla Thunderbird schützt:

Anschliessend ist beim Öffnen der PKCS12-Datei das Backup-Passwort anzugeben, mit dem Sie die Datei vorher beim Export geschützt haben:

2. Damit haben Sie ihr Zertifikat in Thunderbird importiert und finden es unter Einstellungen - Erweitert:

3. Eine mit Ihrer digitalen Signatur versehenen Email können Sie sofort erstellen. Bearbeiten Sie dazu die Einstellungen unter dem Menupunkt S/MIME:

4. Um eine verschlüsselte Email versenden zu können, benötigen Sie das öffentliche Zertifikat des Empfängers. Bitten Sie den Empfänger um das Zusenden einer signierten Email und speichern Sie diese in Ihrem Zertifikatsspeicher unter „Zertifikate anderer Personen “ ab.

Bearbeiten Sie die Zertifikats-Vertrauenseinstellungen. Im Anschluss daran bearbeiten Sie auch die Vertrauenseinstellungen für die TU Clausthal CA G02 als Zertifizierungsstelle oder die Stelle, die das gerade empfangenen Zertifikat ausgestellt hat (es genügt die Nutzung für Identifikation für Mail-Benutzer).

5. Widerrufslisten für Nutzer-Zertifikate

Nutzerzertifikate müssen regelmäßig auf ihre Gültigkeit überprüft werden. Die TU Clausthal CA veröffentlicht in regelmäßigen Abständen sog. Sperrlisten, in denen Zertifakte aufgelistet sind, die ihre Gültigkeit verloren haben (Nutzer-Zertifikate haben eine Lebensdauer von 3 Jahren und werden dann ggfls. erneuert)

In den erweiterten Einstellungen des Mozilla Thunderbird können Sie die sog. CRLs, Zertifikats-Widerrufslisten verwalten:

Importieren Sie die URL https://pki.pca.dfn.de/tu-clausthal-ca/pub/crl/g_cacrl.crl

und aktivieren Sie die automatischen Updates dieser CRL:

6. Widerrufslisten (CRLs) in Mozilla Firefox aktivieren

Für den Thunderbird ist es ja schon vorweg genommen worden aber auch im Firefox sollten die CRLs aktiviert werden, damit auch ungültige bzw. gesperrte Server-Zertifikate von Ihrem Webbrowser erkannt werden.

Der Link zu den Sperrlisten liegt gut versteckt auf der öffentlichen TU-ClausthalCA-Seite unter „gesperrte Zertifikate“:

Die CRL der TU-Clausthal CA Classic benötigen Sie nicht .

Auch hier ist das „Automatische Update“ zu aktivieren:

Melden Sie sich an, um einen Kommentar zu erstellen.
ssl-zertifikate/nutzer-zertifikate/user-zert-mozilla-apps.txt · Zuletzt geändert: 08:55 16. November 2016 von Oliver Koch
Valid CSS Driven by DokuWiki Recent changes RSS feed Valid XHTML 1.0