Kommunikations- und Informationszentrum (kiz)

Schritt 3: Thunderbird einrichten

Dieser Abschnitt beschreibt den Import eines Nutzerzertifikats in den Thunderbird. Die Beschreibung ist gültig für Thunderbird Version 128. An einigen wenigen Stellen unterscheiden sich verschiedene Thunderbird Version, sowie Varianten für Linux, Windows und MacOS. Meist handelt es sich dabei um geringfügig abweichende Menü-Texte. Diese Fälle sind an den relevanten Stellen soweit möglich in Klammern dokumentiert. Die Abschnitte 1 bis 5 sollten sequentiell durchlaufen werden:

  1. Hauptpasswort/Master-Passwort aktivieren
  2. Zertifikatsverwaltung finden
  3. Nutzerzertifikat importieren und prüfen
  4. Zertifikat dem E-Mail Account zuordnen
  5. Versenden einer signierten E-Mail
  6. Empfang einer signierten E-Mail
  7. Verschlüsselung einer E-Mail
  8. Problembehebung

1. Hauptpasswort/Master-Passwort aktivieren (Thunderbird)

Um den privaten Schlüssel zu schützen müssen Sie für den Zertifikatsspeicher (Keystore) des Thunderbirds ein Hauptpasswort (Master-Passwort) setzen. Es ist sehr empfehlenswert, für die Verwaltung von Passwörtern einen Passwortmanager zu verwenden.

  • Thunderbird-Menü "Extras" (Windows) bzw. "Bearbeiten" (Linux) bzw. "Thunderbird" (Mac) bzw. "Hamburger-Icon (drei waagrechte Striche)" (je nach Thunderbird-Variante und Konfiguration)
  • Untermenü "Einstellungen"
  • Punkt "Datenschutz & Sicherheit" (siehe (A) in der nächsten Abbildung)
  • Abschnitt "Passwörter"
  • Stellen Sie sicher, dass "[v] Hauptpasswort verwenden" aktiviert ist (siehe (B) in der nächsten Abbildung). Wenn dies noch nicht aktiviert war, müssen Sie beim Aktivieren das Passwort neu setzten (Einsatz eines Passwortmanagers sehr zu empfehlen). Durch das Hauptpasswort wird Ihr privater Schlüssel im Thunderbird-Keystore geschützt.

2. Zertifikatsverwaltung finden (Thunderbird)

Wenn Sie Zertifikate einsetzen, müssen Sie von Zeit zu Zeit mit der Zertifikatsverwaltung von Thunderbird arbeiten. So finden Sie die Zertifikatsverwaltung:

  • Thunderbird-Menü "Extras" (Windows) bzw. "Bearbeiten" (Linux) bzw. "Thunderbird" (Mac) bzw. "Hamburger-Icon" (je nach Thunderbird-Variante und Konfiguration)
  • Untermenü "Einstellungen"
  • Punkt "Datenschutz & Sicherheit" (siehe (1) in der nächsten Abbildung)
  • Abschnitt "Zertifikate" (weiter unten auf der Seite "Datenschutz & Sicherheit")
  • Button "Zertifikate verwalten" (siehe (2) in der nächsten Abbildung) => dies öffnet ein neues Fenster mit der Zertifikatsverwaltung

3. Nutzerzertifikat importieren und prüfen (Thunderbird)

Bitte löschen Sie in keinem Fall alte Nutzerzertifikate. Andernfalls verlieren Sie den Zugriff auf E-Mails, die an Sie mit dem alten Zertifikat verschlüsselt geschickt wurden.

Bitte beachten Sie, dass Sie nach dem Import das neue Nutzerzertifikat Ihrem E-Mail Account zuordnen müssen. Das Vorgehen dafür wird im nächsten Abschnitt beschrieben und ist auch erforderlich, wenn Sie einen Update für ein Nutzerzertifikat importieren.

  • Öffnen Sie die Thunderbird-Zertifikatsverwaltung (siehe vorheriger Abschnitt)
  • Tab "Ihre/Meine Zertifikate" (siehe (3) in der nächsten Abbildung)
  • Button "Importieren" (siehe (4))
  • Suchen Sie das Nutzerzertifikat (Datei mit Endung ".p12") auf der Festplatte und importieren Sie es. Beim Import werden Sie zunächst nach dem Passwort der p12-Datei und dann nach dem Thunderbird Keystore-Passwort gefragt (es ist sehr empfehlenswert, für die Passwörter einen Passwort-Manager zu verwenden). Nach dem erfolgreichen Import sollte nun Ihr neues Zertifikat unter "Ihre/Meine Zertifikate" zu sehen sein (5).

Sie können jetzt die Zertifikatsverwaltung schließen und mit dem nächsten Punkt fortfahren.

4. Zertifikat dem E-Mail Account zuordnen (Thunderbird)

Nach dem Import des Zertifikats müssen Sie noch für den E-Mail Account festlegen, mit welchem Zertifikat die E-Mails unterschreiben werden.

  • Thunderbird-Menü "Extras" (Windows) bzw. "Bearbeiten" (Linux) bzw. "Thunderbird" (Mac) bzw. "Hamburger-Icon" (je nach Thunderbird-Variante und Konfiguration)
  • Untermenü "Konten-Einstellungen"
  • Sektion "Ende-zu-Ende Verschlüsselung" im Konfigurationsabschnitt Ihres E-Mail Accounts (siehe (1) in der Abbildung unten - aktiviert ist der Eintrag je nach Thunderbird Version grau bzw. blau hinterlegt).
  • Eintrag "S/MIME" -> "Persönliches Zertifikat für digitales Signieren" (2) (bzw. "Persönliches Zertifikat für digitale Unterschrift" - je nach Thunderbird Version)
  • Button "Auswählen ..." (3) - wählen Sie das Zertifikat aus, welches Sie per Zertifikatsverwaltung importiert haben. Die Details zu dem jeweils ausgewähltem Zertifikat werden nach der Auswahl via Drop-Down-Box angezeigt. Prüfen Sie, dass Sie das richtige Zertifikat ausgewählt haben (sofern Sie mehrere - z.B. alte - Zertifikate besitzen). Bestätigen Sie die Auswahl durch einen Klick auf "OK" bzw. "Ja" (je nach Thunderbird Version).
  • Darauf hin werden Sie zusätzlich gefragt, ob Sie das Zertifikat auch für Verschlüsselung verwenden wollen. Bestätigen Sie das mit "OK" bzw. "Ja" (je nach Thunderbird Version).
  • Nach erfolgreicher Zuweisung sollte Ihr Zertifikat unter den beiden Einträgen "Persönliches Zertifikat für digitales Signieren" (2) (bzw. "Persönliches Zertifikat für digitale Unterschrift" - je nach Thunderbird Version) sowie "Persönliches Zertifikat für Verschlüsselung" (4) zu sehen sein.
  • Bitte ändern Sie nicht die Einstellungen im Abschnitt "Senden von Nachrichten - Standardeinstellungen" (5). Das heißt, dass der Eintrag "(x) Verschlüsselung für neue Nachrichten nicht verwenden" aktiviert sein sollte.
  • Bitte stellen Sie sicher, dass der Eintrag “[v] Unverschlüsselte Nachrichten digital signieren” aktiviert ist (6).

Jetzt sollte es möglich sein, signierte E-Mails zu schicken. Sie können den Tab "Konten-Einstellungen" schließen.

5. Versenden einer signierten E-Mail (Thunderbird)

Zum Versenden einer E-Mail mit digitaler Signatur muss man den Toolbar Button "S/MIME" (bzw. "Sicherheit" - je nach Thunderbird Version) drücken (A) und dort den Eintrag "[v] Digital signieren" (bzw. "[v] Digital unterschreiben" bzw. "[v] Nachricht unterschreiben" - je nach Thunderbird Version) aktivieren (B).

Zum Test kann man einfach sich selbst eine signierte E-Mail schicken.

6. Empfang einer signierten E-Mail (Thunderbird)

Mittels der digitalen Signatur der E-Mail-Nachricht kann der Empfänger prüfen, dass diese E-Mail tatsächlich vom Absender verschickt wurde. Außerdem ist sichergestellt, dass der Inhalt der E-Mail nicht von Dritten manipuliert wurde.

Eine signierte E-Mail erkennt man am "S/MIME" Symbol in der Kopfzeile der E-Mail (siehe (C) in der nächsten Abbildung). Wichtig ist, dass das “S/MIME” Symbol ohne rotes Warndreieck angezeigt wird. Sollte dort ein rotes Warndreieck zu sehen sein, ist die Signatur nicht gültig oder die E-Mail Adresse in der E-Mail stimmt nicht mit der E-Mail des Zertifikats überein.

Um die Qualität des Zertifikats zu prüfen können Sie auf das "S/MIME" Symbol klicken. Darauf hin werden die Details zum Zertifikat angezeigt:

  • Zertifikat mit persönlicher Identitätsprüfung: In diesem Fall wird der Name des Senders (D) und die E-Mail Adresse (E) angezeigt wird. Die Identität der Person wurde anhand eines offiziellen Ausweisdokuments geprüft.
  • Zertifikat mit einfacher E-Mail Validierung: In diesem Fall wird nur die E-Mail Adresse (E) angezeigt, nicht jedoch der Name (D) des Senders. Die Zugehörigkeit der E-Mail Adresse wurde mittels einer einfachen E-Mail Validierung festgestellt. Es wurde jedoch keine Identitätsprüfung durchgeführt.

7. Verschlüsselung einer E-Mail (Thunderbird)

Bitte beachten Sie unbedingt die Hinweise (Risiken), die bei Verwendung der Verschlüsselung entstehen. Bei Verlust des Zugriffs auf verschlüsselte Daten können wir Ihnen in der Regel nicht helfen. In wohl definierten Situationen, etwa bei der Übermittlung sensitiver Daten, kann das Versenden verschlüsselter E-Mails sinnvoll sein.

Um eine E-Mail zu verschlüsseln benötigen Sie den öffentlichen Schlüssel (das Zertifikat) des Empfängers. Im einfachsten Fall erhalten Sie das Zertifikat, in dem Ihnen der Empfänger vorab eine signierte E-Mail schickt. Dieser liegt immer das Zertifikat bei, welches Thunderbird automatisch speichert.

Zum Versenden einer verschlüsselten E-Mail wählen Sie in der Tool-Bar des E-Mail Editors unter "S/MIME" (bzw. "Sicherheit" - je nach Thunderbird Version) den Eintrag "[v] Verschlüsseln" (bzw. "[v] Nur mit Verschlüsselung senden" - je nach Thunderbird Version) aus. Jetzt können Sie dem Empfänger die signierte und verschlüsselte E-Mail schicken.

Um dies zu testen können Sie sich selbst eine verschlüsselte E-Mail schicken.

8. Problembehebung (Thunderbird)

  1. Problem: Beim versenden einer E-Mail wird eine Fehlermeldung angezeigt, dass kein passendes Zertifikat für die Signatur gefunden werden konnte.
    Lösung: Gelegentlich kommt es durch Thunderbird-Updates vor, dass die Zuordnung des Zertifikats zum E-Mail Account verloren geht. Bitte folgen Sie dem Abschnitt "Zertifikat dem E-Mail Account zuordnen" weiter oben auf dieser Webseite, um das Zertifikat erneut dem E-Mail Account zuzuordnen.

Kommunikations- und Informationszentrum (kiz)

Kontaktieren Sie uns bei Fragen und Problemen zu den Services des kiz:

Sprechzeiten
Montag - Donnerstag
09:00 - 12:00 Uhr
13:00 - 15:30 Uhr

Freitag
09:00 - 12:00 Uhr

Telefon
+49 (0) 731 / 50 - 30000

Telefax
+49 (0) 731 / 50 - 1230000

Rückruf beauftragen
helpdesk(at)uni-ulm.de
Support-Portal (Uni intern)
[mehr]

An den Service-Points können Sie uns persönlich aufsuchen.

[mehr]

Self Service Funktionen des Identitätsmanagementsystems (IDM): Berechtigungen verwalten, Dienste abonnieren, Passwörter ändern etc.

IDM Self Services
[mehr]

Recherche im Bibliotheksbestand nach Monografien, Lehrbücher, Zeitschriften, Hochschulschriften, E-Books, E-Journals, Nationallizenzen, sowie im Bestand des institutionellen Repositoriums OPARU:

Bibliothekskatalog::lokal

Etwa 400 Stichwörter führen Sie direkt zu einer einschlägigen Web-Seite des kiz. Wenn Sie ein Stichwort vermissen, geben Sie uns Nachricht an das Team Public Relations.

A-Z-Liste

mehr zu: Digitalen Zertifikate

Für das Austellen eines Nutzerzertifikats ist einmalig eine Identitätsfeststellung durch Ihr persönliches Erscheinen bei unserer Registrierungsstelle an folgendem Service-Point erforderlich:

kiz Universität West
Bibliotheks-Zentrale
Service Point Information
Tel: +49 (0) 731 / 50 - 15544
E-Mail: ra(at)uni-ulm.de

Anmeldung per Telefon oder E-Mail wird erbeten. Die Öffnungszeiten entnehmen Sie bitte der verlinkten Webseite des Service Points.

Zur Beantragung eines Serverzertifikats nehmen Sie bitte Kontakt über die oben angegebene E-Mail-Adresse mit uns auf.

Einführung in digitale Zertifikate

Informationsblatt zu Sectigo Zertifikaten