Gelöst: Fehler beim Import eines Zertifikats für S/MIME Vers

netlinker

Hallo zusammen,

ich versuche gerade die Zertifikate eines Ansprechpartners bei der Telekom zu importieren.

Leider erhalte ich beim Import des Zertifikates unter "Zertifikate anderer Personen" immer folgenden Fehlermeldung:

Code

Dieses Zertifikat kann nicht erfolgreich überprüft werden und wird daher nicht importiert. Es könnte sein, dass der Herausgeber des zertifikats unbekannt ist, ihm nicht vertraut wird, das zertifikat abgelaufen ist, zurück gerufen wurde, oder nicht anerkannt wurde.

Die Zertifikate des CA's ( Deutsche Telekom Root CA1 und TIKS CA4) habe ich importiert und ihnen alle Berechtigungen gegeben.

Unter Outlook Express kann ich diese drei Zertifikate importieren und auch erfolgreich Mails ver/entschlüsseln.

Jetzt Frag ich mich nur, wie ich das ganze unter Thunderbird zum laufen bekomme, oder was ich falsch mache

Hier mal die Infos zum Zertifikat:

Code

Zertifizierungspfad:
Deutsche Telekom Root CA1
-->TIKS CA4
----->User Zertifikat




Signarturalgorithmus
--	md5RSA
Aussteller
--	CN = TIKS CA 4
--	OU = T-TeleSec Trust Center
--	O = Deutsche Telekom AG
--	C = DE
Gültig ab
--	Montag, 23. April 2007 16:45:04
Gültig bis
--	Freitag, 24. April 2009 01:59:00
Aussteller
--	E = user@telekom.de
--	CN = User
--	O = Deutsche Telekom AG
--	C = DE
Öffentlicherschlüssel
--	RSA (1024bits)
Schlüsselkennung
--	Schlüsselkennung=1e 7e 55 ee 13 a2 c9 24 bc a1 33 d0 00 7d 3b 81 43 61 33 3b
Schlüsselkennung des Antragstellers
--	b9 41 a9 dc 8b b1 5b 8a 86 58 48 33 d6 ba 24 a3 7d 7b 98 43
Zertifikatsrichtlinie
--	[1]Zertifikatsrichtlinie:
--	     Richtlinienkennung=1.3.6.1.4.1.7879.13.5
--	     [1,1]Richtlinienqualifierinformationen:
--	          Richtlinienqualifier Id=CPS
--	          Qualifier:
--	               http://tiks.telekom.de/cps.pdf
Sperrlisten-Verteilungspunkt
--	[1]Sperrlisten-Verteilungspunkt
--	     Name des Verteilungspunktes:
--	          Vollst. Name:
--	               URL=ldap://zertifikate.telekom.de:389/cn=TIKS CA 4, ou=T-TeleSec Trust Center, o=Deutsche Telekom AG, --c=DE?certificateRevocationList
Alternativer Antragstellername
--	RFC822-Name=user@t-com.net
--	RFC822-Name=user@telekom.de
Schlüsselverwendung
--	Digitale Signatur (80)
Fingerabdruckalgorithmus
--	sha1
Fingerabdruck
--	44 cf a4 c0 13 56 85 24 3b 46 21 7b 56 61 83 cc e0 a2 2a 51

Alles anzeigen

Ach ja, ich nutze die Thunderbird Version 2.0.0.4 unter Windows XP Prof.

Ich hoffe mal, dass ihr einen Tip für mich habt.

Noch etwas mit Thunderbird, kann ich die Mails, die mir dieser Kontakt sendet nicht entschlüsseln. Es gibt folgende Meldung:
Thunderbird kann die Nachricht nicht entschlüsseln.

Code

Der Absender hat diese Nachricht mit einem Ihrer digitalen Zertifikate verschlüsselt. Trotz allem konnte Thunderbird dieses Zertifikat und den zugehörigen privaten Schlüsseln nicht finden.
Mögliche Lösungen:




    * Wenn Sie eine SmartCard besitzen, dann legen Sie diese jetzt bitte ein.
    * Wenn Sie einen anderen PC oder ein anderes Thunderbird Profil verwenden, müssen Sie Ihr Zertifikat und den zugehörigen privaten Schlüssel wieder herstellen / installieren. Zertifikat-Backups haben in der Regel die Endung ".p12".

In Thunderbird habe ich den gleichen Schlüsselbund importiert, wie in Outlook express.

Mit Outlook Express kann ich die Mails entschlüsseln.

MfG
netlinker

netlinker

Das Problem mit dem entschlüsseln lag daran, das ich nur Kopfzeilen runter lade.
Wenn die Mail verschlüsselt ist, so habe ich nicht mehr den Text "Nicht heruntergeladen Nur die Kopfzeilen wurden vom Server heruntergeladen. Klicken Sie hier, um die ganze Nachricht vom Server herunterzuladen."
, sondern erhalte die o.g. Fehlermeldung.

netlinker

Auch das erste Problem scheint behoben, der User hat noch ein weiteres Zertifikat, dieses kann ich importieren.
Was mit dem ersten Zertifikat ist keine Ahnung.

Das einzige was jetzt nicht geht, ist das senden einer Verschlüsselten EMAIL an die Adressen, die unter Alternativer Antragstellername eingetragen sind.

Peter_Lehmann

Hi netlinker,

da sieht man mal wieder, was man alles so selbst heraus bekommt ... .
Für mehr muss man schon wissen, wohin man schauen muss

> Was mit dem ersten Zertifikat ist keine Ahnung.

Dann schau mal hier:
> Schlüsselverwendung
> Digitale Signatur (80)

Im professionellen Bereich verwenden wir für die Signatur und für die Verschlüsselung unterschiedliche Zertifikate. Wenn du lediglich eine signierte Mail bekommst, dann kann es sein, dass du eben nur das Signaturzertifikat (80) erwischst. Und das brauchst du auch nicht importieren, den die importierten User-Zertifikate sind ja (für dich) zum Verschlüsseln an den Empfänger da. Und verschlüsseln kannst du mit dem 80er nicht, weil eben die gewollte Einschränkung vorliegt.

Senden einer verschlüsselten Mail:
Thunderbird holt sich die Mailadresse aus dem Feld "E". Dort steht auch eine gültige Adresse. Was kommt denn für eine Fehlermeldung? Was steht für Verwendungszweck um zweiten Zertifikat?

MfG Peter

netlinker

Hi Peter,

hier die angaben zum zweiten Zertifikat:
Schlüsselverwendung
--Digitale Signatur, Schlüsselverschlüsselung (a0)
Erweiterte Schlüsselverwendung
--Clientauthentifizierung (1.3.6.1.5.5.7.3.2)
--Sichere E-Mail (1.3.6.1.5.5.7.3.4)
--Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2)

Antragstellername
--E = [email='user@telekom.de'][/email]
--CN = Username
--O = Deutsche Telekom AG
--C = DE

Alternativer Antragstellername
--Anderer Name:
----Prinzipalname=user@t-com.net
--RFC822-Name=user@t-com.net
--RFC822-Name=user@telekom.de

Wenn ich eine Mail an die Adresse [email='user@t-com.net'][/email] sende bekomme ich folgende Meldung:

Code

Senden der Nachricht fehlgeschlagen.
Sie haben ausgewählt, diese Nachricht zu verschlüsseln, aber die Anwendung konnte kein Verschlüsselungszertifikat für user@t-com.net finden.

Wenn ich weiß, das ich die Adresse aus dem E Feld nehmen muss ist das ja ok, dachte man könnte alle gelisteten Adressen verwenden, da ich sonst die t-com.net Adresse verwende. Aber ok.

Und mit den zwei Zertifikaten für Verschlüsselung und Signieren, dass kannte ich auch nicht.

Also schon mal danke.

Kannst du mir vielleicht noch erklären, woran es liegt, dass wenn man nur Kopfzeilen herunterlädt Thunderbird bei verschlüsselten Mails anzeigt, das diese nicht entschlüsselt werden können und nicht mehr die Option bietet, die gesamte Email herunterzuladen?

Gruß
netlinker

Peter_Lehmann

Nun, unmittelbar nach den Kopfzeilen, in welchen auch steht, dass es sich um eine s/mime-verschlüsselte Mail handelt, kommt bei selbiger "nur noch" der p7m-Container. Und dieser enthält den gesamten Mailinhalt einschließlich der Anhänge.
Damit betrachte ich die Meldung, dass die Mail nicht entschlüsselt werden kann, als völlig korrekt. Ist ja nix da, zum Entschlüsseln

Warum er neben der Fehlermeldung nicht noch die Option bietet, noch den "Rest" runterzuladen und die Mail zu entschlüsseln - das musst du schon die Entwickler fragen. Sicherlich könnte man das machen, aber ... .

Bei den beschriebenen Zertifikaten handelt es sich im Übrigen um selbige auf Smartcard. Man kann die Funktionen des 2. Zertifikates noch weiter zerpflücken, und für Authentifizierung, Mailverschlüsselung, Mailsignatur, uvam. noch weitere getrennte Zertifikate (+ die dazugehörigen privaten Schlüssel) aufbringen. Platz ist heutzutage genug vorhanden. Nur, je mehr Schlüssel, desto länger dauert die Produktion der Karte.

Auch wenn ich es nicht mag (und wir es auch nicht so machen, aber nicht wegen mir ...), ist es möglich in einem Zertifikat mehrere Mailadressen einzutragen. Thunderbird scheint aber nur mit der ersten Adresse etwas anfangen zu können und ignoriert die weiteren. Ich kann das allerdings mangels Gelegenheit nicht nachprüfen. Habe einfach keine Z. mit mehreren Adressen vorliegen - und will mir auch nicht die Mühe machen eines deswegen zu erzeugen. Warum TB das nicht macht, kannst du wiederum nur die Entwickler fragen.
Ich finde es einfach besser, für jede Adresse ein eigenes (Software-)Token zu verwenden. Habe bei mir deswegen für jede einzelne Adresse ein eigenes Z. importiert. Und im professionellen Bereich (=> Chipkarten) hat doch eh jeder nur eine Mailadresse. Und man kann ja auch mehrere Z. auf eine Karte bringen, wenn unbedingt Bedarf besteht.
Ein guter Mailclient zeigt nämlich jedes mal eine Fehlermeldung an, wenn eine Mail mit Hilfe eines Zertifikates (besser: des geheimen Schlüssels ...) signiert wurde und dieses nicht auf die Mailadresse des Absenders passt. Gerade bei den Magentafarbenen Absendern passiert das sehr häufig.

Thunderbird ist eben ein hübscher Mailclient, den ich privat sehr gern und nunmehr ausschließlich verwende. Aber im professionellen Bereich ziehe ich ihm eben mein geliebtes LoNo + Krypto-Plugin vor ... .

MfG Peter

netlinker

Hi Peter,

danke für die ausführliche Antwort.

Hab das ausschließliche runterladen von Kopfzeilen ausgeschaltet. So klappt dann alles sauber.

MfG
netlinker

Gelöst: Fehler beim Import eines Zertifikats für S/MIME Vers

Community-Bot 3. September 2024 um 19:09

Thunderbird 128.5.0 ESR veröffentlicht

Thunderbird 115.16.3 ESR veröffentlicht