Dieser Abschnitt beschreibt den Import eines Nutzerzertifikats in den Thunderbird. Die Beschreibung ist gültig für Thunderbird Version 115. An einigen wenigen Stellen unterscheiden sich verschiedene Thunderbird Version, sowie Varianten für Linux, Windows und MacOS. Meist handelt es sich dabei um geringfügig abweichende Menü-Texte. Diese Fälle sind an den relevanten Stellen soweit möglich in Klammern dokumentiert.

Hauptpasswort (Master-Passwort) aktivieren:

Um den privaten Schlüssel zu schützen müssen Sie für den Zertifikatsspeicher (Keystore) des Thunderbirds ein Hauptpasswort (Master-Passwort) setzen. Es ist sehr empfehlenswert, für die Verwaltung von Passwörtern einen Passwortmanager zu verwenden.

• Thunderbird-Menü "Extras" (Windows) bzw. "Bearbeiten" (Linux) bzw. "Thunderbird" (Mac) bzw. "Hamburger-Icon (drei waagrechte Striche)" (je nach Thunderbird-Variante und Konfiguration)
• Untermenü "Einstellungen"
• Punkt "Datenschutz & Sicherheit" (siehe (A) in der nächsten Abbildung)
• Abschnitt "Passwörter"
• Stellen Sie sicher, dass "[v] Hauptpasswort verwenden" aktiviert ist (siehe (B) in der nächsten Abbildung). Wenn dies noch nicht aktiviert war, müssen Sie beim Aktivieren das Passwort neu setzten (Einsatz eines Passwortmanagers sehr zu empfehlen). Durch das Hauptpasswort wird Ihr privater Schlüssel im Thunderbird-Keystore geschützt.

Zertifikatsverwaltung finden:

Wenn Sie Zertifikate einsetzen, müssen Sie von Zeit zu Zeit mit der Zertifikatsverwaltung von Thunderbird arbeiten. So finden Sie die Zertifikatsverwaltung:

• Thunderbird-Menü "Extras" (Windows) bzw. "Bearbeiten" (Linux) bzw. "Thunderbird" (Mac) bzw. "Hamburger-Icon" (je nach Thunderbird-Variante und Konfiguration)
• Untermenü "Einstellungen"
• Punkt "Datenschutz & Sicherheit" (siehe (1) in der nächsten Abbildung)
• Abschnitt "Zertifikate" (weiter unten auf der Seite "Datenschutz & Sicherheit")
• Button "Zertifikate verwalten" (siehe (2) in der nächsten Abbildung) => dies öffnet ein neues Fenster mit der Zertifikatsverwaltung

Importieren und prüfen des Nutzerzertifikates:

• Öffnen Sie die Thunderbird-Zertifikatsverwaltung (siehe vorheriger Abschnitt)
• Tab "Ihre/Meine Zertifikate" (siehe (3) in der nächsten Abbildung)
• Button "Importieren" (siehe (4))
• Suchen Sie das Nutzerzertifikat (Datei mit Endung ".p12") auf der Festplatte und importieren Sie es. Beim Import werden Sie zunächst nach dem Passwort der p12-Datei und dann nach dem Thunderbird Keystore-Passwort gefragt (es ist sehr empfehlenswert, für die Passwörter einen Passwort-Manager zu verwenden). Nach dem erfolgreichen Import sollte nun Ihr neues Zertifikat unter "Ihre/Meine Zertifikate" zu sehen sein (5).
• Wählen Sie Ihr Zertifikat aus (5) - es ist dann dunkel-grau (Thunderbird 115) bzw. blau (Thunderbird 102) hinterlegt.
• Button "Ansehen" (6) - es öffnet sich ein neuer Thunderbird-Tab "Zertifikat für IHR NAME" mit den Zertifikat-Details (7).
• Test 1: Prüfen Sie, dass die vollständige Zertifikatskette angezeigt wird (siehe (8) in der folgenden Abbildung). Die hier gemachten Angaben gelten für Zertifikate von Sectigo (ab September 2023). Die folgenden Tabs sollten vorhanden sein: "Ihr Name", "Geant Personal CA 4" und "USERTrust RSA Certification Authority". Wenn einer der Tabs fehlt, dann gibt es ein Problem mit der Zertifikatskette. Hinweis: Wenn Sie ein altes Zertifikat des DFN-Vereins prüfen (Ausstelldatum bis August 2023), dann wird für dieses Zertifikat die folgende Zertifikatskette angezeigt: "Ihr Name", "DFN-Verein Global Issuing CA", "DFN Certification Authority 2", "T-TeleSec GlobalRoot Class 2".
• Test 2: Scrollen Sie auf der Seite Ihres Zertifikats nach unten bis Sie die Abschnitte "Schlüsselverwendung" und "Erweiterte Schlüsselverwendung" sehen (9). Unter "Schlüsselverwendung" sollte der Eintrag "Digital Signature" zu finden sein. Unter "Erweiterte Schlüsselverwendung" sollen Sie den Eintrag "E-mail Protection" finden. Wenn einer dieser Einträge fehlt, ist der Import des Zertifikat fehlgeschlagen oder es wurde ein falsches Zertifikat importiert.

Wenn die beiden Tests erfolgreich sind, dann können Sie den Tab "Zertifikat für IHR NAME" und die Zertifikatsverwaltung schließen und mit dem nächsten Punkt fortfahren. Wenn einer der Tests nicht erfolgreich war, dann folgen Sie bitte der Anleitung zur Problembehebung am unteren Ende des Thunderbird-Abschnitts. Kehren Sie danach bitte an diese Stelle zurück und prüfen Sie erneut, ob die entsprechenden Tests dann erfolgreich sind.

Zertifikat dem E-Mail Account zuordnen:

Nach dem Import des Zertifikats müssen Sie noch für den E-Mail Account festlegen, mit welchem Zertifikat die E-Mails unterschreiben werden.

• Thunderbird-Menü "Extras" (Windows) bzw. "Bearbeiten" (Linux) bzw. "Thunderbird" (Mac) bzw. "Hamburger-Icon" (je nach Thunderbird-Variante und Konfiguration)
• Untermenü "Konten-Einstellungen"
• Sektion "Ende-zu-Ende Verschlüsselung" im Konfigurationsabschnitt Ihres E-Mail Accounts (siehe (1) in der Abbildung unten - aktiviert ist der Eintrag je nach Thunderbird Version grau bzw. blau hinterlegt).
• Eintrag "S/MIME" -> "Persönliches Zertifikat für digitales Signieren" (2) (bzw. "Persönliches Zertifikat für digitale Unterschrift" - je nach Thunderbird Version)
• Button "Auswählen ..." (3) - wählen Sie das Zertifikat aus, welches Sie per Zertifikatsverwaltung importiert haben. Die Details zu dem jeweils ausgewähltem Zertifikat werden nach der Auswahl via Drop-Down-Box angezeigt. Prüfen Sie, dass Sie das richtige Zertifikat ausgewählt haben (sofern Sie mehrere - z.B. alte - Zertifikate besitzen). Bestätigen Sie die Auswahl durch einen Klick auf "OK" bzw. "Ja" (je nach Thunderbird Version).
• Darauf hin werden Sie zusätzlich gefragt, ob Sie das Zertifikat auch für Verschlüsselung verwenden wollen. Bestätigen Sie das mit "OK" bzw. "Ja" (je nach Thunderbird Version).
• Nach erfolgreicher Zuweisung sollte Ihr Zertifikat unter den beiden Einträgen "Persönliches Zertifikat für digitales Signieren" (2) (bzw. "Persönliches Zertifikat für digitale Unterschrift" - je nach Thunderbird Version) sowie "Persönliches Zertifikat für Verschlüsselung" (4) zu sehen sein.
• Bitte ändern Sie nicht die Einstellungen im Abschnitt "Senden von Nachrichten - Standardeinstellungen" (5). Das heißt, dass der Eintrag "(x) Verschlüsselung für neue Nachrichten nicht verwenden" aktiviert sein sollte. Die "Standardeinstellung für Verschlüsselung" ist an dieser Stelle nur in Thunderbird 115, nicht jedoch in Version 102 vorhanden.

Jetzt sollte es möglich sein, signierte E-Mails zu schicken. Sie können den Tab "Konten-Einstellungen" schließen.

Versenden einer signierten Nachricht:

Zum Versenden einer E-Mail mit digitaler Signatur muss man den Toolbar Button "S/MIME" (bzw. "Sicherheit" - je nach Thunderbird Version) drücken (A) und dort den Eintrag "[v] Digital signieren" (bzw. "[v] Digital unterschreiben" bzw. "[v] Nachricht unterschreiben" - je nach Thunderbird Version) aktivieren (B). Einige ältere Thunderbird-Versionen zeigen zusätzlich in der Statusleiste des Editorfensters ein Symbol "S/MIME" an, wenn die E-Mail signiert verschickt wird. Die aktuelle Thunderbird Version 115 macht dies leider nicht mehr. Hier kann man nur wie eben beschrieben über den Toolbar Button "S/MIME" kontrollieren, ob die Signatur-Funktion aktiviert ist.

Zum Test kann man einfach sich selbst eine signierte E-Mail schicken.

Empfang einer signierten E-Mail:

Mittels der digitalen Signatur der E-Mail-Nachricht kann der Empfänger prüfen, dass diese E-Mail tatsächlich vom Absender verschickt wurde. Außerdem ist sichergestellt, dass der Inhalt der E-Mail nicht von Dritten manipuliert wurde. Eine signierte E-Mail erkennt man am "S/MIME" Symbol in der Kopfzeile der E-Mail (siehe (C) in der nächsten Abbildung). Um die Signatur zu prüfen klickt man auf das "S/MIME" Symbol. Darauf hin werden die Details zum Absender angezeigt. Hier sollte man mindestens prüfen, dass die E-Mail-Adresse im Zertifikat (D) mit der Adresse übereinstimmen, die das E-Mail-Programm unter "Von" anzeigt (E).

Offiziell unterstützen wir Firefox und Thunderbird. Das prinzipielle Vorgehen mit den Programmen Safari und Mac E-Mail ist ähnlich. Die folgende Beschreibung erklärt, wie man die p12-Zertifikatsdatei (öffentliches Zertifikat und privater Schlüssel) im Mac E-Mail Programm verfügbar macht. Bei Problemen mit Safari und Mac-E-Mail wenden Sie sich bitte an Ihren lokalen Administrator.

Bitte beachten Sie unbedingt die Hinweise zu den Risiken, die bei Verwendung der Verschlüsselungsfunktion entstehen. Bitte beachten Sie auch, dass zum Verschlüsseln von Nachrichten der öffentliche Schlüssel des/der Empfängers/Empfängerin benötigt wird. Am einfachsten erhalten Sie den öffentlichen Schlüssel, in dem Ihnen der/die Empfänger/Empfängerin zuerst eine signierte E-Mail schickt. Diese enthält das Zertifikat, welches die meisten E-Mail Programme automatisch in ihren Key-Store aufnehmen.

Der nun folgende Text beschreibt, wie man auf einem MacOS-System mit dem Zertifikat eine E-Mail signiert.

Die Mac-Schlüsselbundverwaltung: Auf Apple Rechnern werden die Zertifikate zentral im Schlüsselbund verwaltet. Sowohl der Webbrowser Safari als auch das Mac-Mail-Programm verwenden gemeinsam die im Schlüsselbund gespeicherten Zertifikate. Die Mac-Schlüsselbundverwaltung erreichen Sie über "Finder => Programme => Dienstprogramme => Schlüsselbundverwaltung". Alternativ können Sie auch einfach nach "Schlüsselbundverwaltung" im Spotlight suchen. Die für E-Mails relevanten Zertifikate sind im Schlüsselbund mit dem Namen "Anmeldung" gespeichert. Dieser Schlüsselbund ist durch das Login-Passwort Ihres Mac Accounts gesichert. Wenn Sie Objekte im Schlüsselbund hinzufügen oder ändern möchten, dann müssen Sie dies durch Eingabe des Login-Passworts Ihres Mac Accounts bestätigen.

Import des Zertifikats und des privaten Schlüssels in die Mac-Schlüsselbundverwaltung: In Schritt 2 dieser Anleitung haben Sie das Zertifikat zusammen mit dem privaten Schlüssel in einer Datei mit dem Namen ähnlich zu "Vorname_Nachname_Datum.p12" abgelegt. Öffnen Sie nun die Schlüsselbundverwaltung und importieren Sie die p12-Datei. Es gibt mehrere Möglichkeiten, die Datei zu importieren. Zum Beispiel können Sie die Datei per Drag&Drop in den Listen-Bereich des Schlüsselbunds "Anmeldung" ziehen. Ebenso sollte ein Doppelklick auf die Datei den Import starten. Während des Imports müssen zwei Passwörter eingegeben werden: Zuerst das Passwort, welches die p12-Datei schützt - dieses haben Sie in Schritt 2 beim Erzeugen des Zertifikats vergeben (siehe nächster Absatz bei Problemen mit diesem Passwort). Danach werden Sie nach dem Login-Passwort Ihres Mac Accounts gefragt, da dieses auch die Mac-Schlüsselbundverwaltung schützt.

Probleme beim Import der p12-Datei: Wenn beim Import der p12-Datei (dem Nutzerzertifikat) Fehlermeldungen auftreten, wie z.B. "Kennwort/Passwort ungültig" oder "Fehler im Sicherungssystem" (und Sie sich 100% sicher sind, dass das Passwort der p12-Datei richtig eingegeben wurde), dann kann das daran liegen, dass Sie bei der Zertifikatserzeugung den neuen Algorithmus "Secure AES256-SHA256" zum Verschlüsseln der p12-Datei gewählt haben. Stand Juli/2023 haben einige Programme wie zum Beispiel der MAC- und Windows-Schlüsselbund Probleme mit dem neuen Algorithmus. In diesem Fall müssen Sie entweder das Zertifikat konvertieren (siehe Webseite, ohne Garantie auf Erfolg) oder ein neues Nutzerzertifikat (Schritt 2) erzeugen, für welches Sie dann den alten Algorithmus "Compatible TripleDES-SHA1" wählen.

Verifikation des Zertifikat-Imports: Im Bereich "Anmeldung (1) -> Alle Objekte (2)" der Schlüsselbundverwaltung sollten jetzt zwei neue Einträge (zwei Zeilen) mit Ihrem Namen zu finden sein (siehe (3) in der Abbildung oben): Ein Eintrag "Privater Schlüssel" und ein Eintrag "Zertifikat". Wenn diese Einträge fehlen, dann war der Import der p12-Datei des Zertifikats nicht erfolgreich und muss wiederholt werden.

Verifikation der Zertifikat-Gültigkeit: Markieren Sie jetzt den Eintrag "Zertifikat" (siehe (3) in der Abbildung oben). Die entsprechende Zeile ist dann blau hinterlegt. Im oberen Bereich des Fensters der Schlüsselbundverwaltung finden Sie nun einige Details zu Ihrem Zertifikat, etwa Ihren Namen sowie das Ablaufdatum. Entscheidend ist der Satz "Dieses Zertifikat ist gültig" (4). Fehlt diese Meldung oder steht dort etwas anderes, dann konnte das Zertifikat nicht verifiziert werden. Um dies zu korrigieren müssen Sie die Vollständigkeit der Zertifikatskette prüfen und sicher stellen, dass dem Wurzelzertifikat vertraut wird. Die dafür notwendigen Schritte finden Sie einige Absätze weiter unten unter dem Stichwort "Problembehebung Mac". Kehren Sie danach an diese Stelle zurück und prüfen Sie erneut die Gültigkeit des Zertifikats. Fahren Sie erst fort, wenn die Gültigkeit des Zertifikats erkannt wird.

Mac E-Mail neu starten: Schließen Sie nun alle Fenster des Mac E-Mail Programms und starten Sie das Programm neu. Ohne diesen Schritt erkennt das E-Mail Programm nicht, dass ein neues Zertifikat mit privatem Schlüssel verfügbar ist.

Testen des Zertifikats: Um das Zertifikat zu testen, können Sie sich selbst eine signierte E-Mail schicken. Geben Sie Ihre eigene E-Mail Adresse als Empfänger an. Am rechten Rand des Fensters neben der Betreff-Zeile gibt es ein Symbol (gezackter Kreis mit Haken in der Mitte), mit dem Sie die elektronische E-Mail Signatur an bzw. ausschalten können (siehe roter Kasten in der folgenden Abbildung). Wenn dieses Symbol fehlt bzw. nicht anwählbar ist, dann ist entweder der Import Ihres Zertifikats fehl geschlagen oder die Gültigkeit des Zertifikat wird nicht erkannt (siehe entsprechende Abschnitte "Verifikation" weiter oben) oder Sie haben das E-Mail Programm nicht neu gestartet. Noch ein Hinweis: Die Drop-Down Box "Signatur: Ohne" hat nichts mit der Zertifikat-basierten Signatur von E-Mail zu tun. Sie dient zum Wechsel zwischen verschiedenen Informationsblöcken am Ende einer E-Mail, z.B. mit Anschrift und Telefonnummer.

Empfang und Verifikation einer signierten E-Mail: Wenn Sie eine signierte E-Mail empfangen haben deren Signatur vom Mac Mailprogramm überprüft werden konnte, dann wird die Meldung "Signiert" mit einem kleinen Haken (siehe folgendes Bild) angezeigt. Wenn Sie diese Einträge nicht sehen, dann müssen Sie erst die Details des E-Mail-Headers einblenden.

Nicht erfolgreiche Signaturprüfung: Wenn die Signatur jedoch nicht verifiziert werden konnte, dann wird zusätzlich die folgende Meldung angezeigt:

Problembehebung Mac: Mögliche Ursachen für das Fehlschlagen der Signaturprüfung: Es gibt zwei wesentliche Gründe, die zu einem Fehlschlagen der Signaturprüfung führen können.

1. Es sind nicht alle Zertifikate der Zertifikatskette vorhanden. Die Prüfung der Signatur eines Zertifikats erfolgt über eine sogenannte Zertifikatskette. Dabei wird das jeweils untergeordnete Zertifikat durch das darüber liegende verifiziert. Dies erfolgt rekursiv bis man bei dem Wurzelzertifikat angelangt. Das Wurzelzertifikat wird oft vom Betriebssystem- bzw. Programmhersteller ausgeliefert und zusammen mit der Software aktualisiert. Fehlt nun eines der Zertifikate in der Kette, so kann die Prüfung nicht bis zum Wurzelzertifikat laufen.

2. Dem Wurzelzertifikat wird nicht vertraut. Der Ursprung des Vertrauens ist das Wurzelzertifikat. Alle diesem untergeordneten Zertifikate erben die Vertrauenseinstellungen des Wurzelzertifikats. Wird diesem nicht vertraut, dann fehlt auch das Vertrauen in die darunter liegenden Zertifikate der Kette bis hin zum Nutzerzertifikat.

Wenn also die Signaturprüfung nicht erfolgreich ist, muss man diese beiden Punkte prüfen und korrigieren. Dies gilt sowohl für das eigene Zertifikat als auch für Signaturen anderer Nutzer, z.B. wenn die Signaturprüfung einer empfangenen E-Mail fehl schlägt.

Problembehebung Mac: Prüfen und korrigieren der Zertifikatskette für Nutzerzertifikate der Universität Ulm: Dieser Abschnitt beschreibt, wie Sie die eigene Zertifikatskette prüfen und gegebenenfalls fehlende Zertifikate einfügen können. Die Beschreibung ist spezifisch für die von der Universität Ulm ausgestellten Nutzerzertifikate. Zertifikate aus anderen Quellen, zum Beispiel Nutzerzertifikate einer anderen Universität, verwenden in der Regel auch eine unterschiedliche Zertifikatskette.

1. Suchen Sie die folgenden beiden Zertifikate im Schlüsselbund "Anmeldung" der Mac Schlüsselbundverwaltung:
   ==> USERTrust RSA Certification Authority
   ==> Geant Personal CA 4
   Sie können die Suche mit Hilfe der Suche-Funktion oben rechts in der Schlüsselbundverwaltung durchführen.
2. Stellen Sie sicher, dass jedes dieser Zertifikate im Schlüsselbund "Anmeldung" existiert. Das heißt, dass der gesuchte Zertifikatsname in der Spalte "Name" und "Anmeldung" in der Spalte "Schlüsselbund" stehen muss (siehe blau hinterlegte Zeile in Abbildung oben für Beispiel "USERTrust RSA Certification Authority").
3. Fehlt eines der Zertifikate der Kette müssen Sie dieses manuell installieren. Sie finden die Zertifikate auf der Webseite "TCS CA-Zertifikate" der DFN-PKI. Dort laden Sie das "Root-Zertifikate" ("tcs-root-bundle.tar") und das "Personenzertifikate" ("tcs-client-certificate-ca-bundle.tar") Paket herunter, entpacken die Pakete und installieren die Zertifikate "USERTrust_RSA_Certification_Authority.pem" und "GEANT_Personal_CA_4.pem" im Schlüsselbund "Anmeldung" der Mac Schlüsselbundverwaltung.
4. Prüfen Sie zum Abschluss, dass jetzt die beiden unter 1. genannten Zertifikate zu finden sind.

Problembehebung Mac: Prüfen und korrigieren der Vertrauenseinstellungen des Wurzelzertifikats: Dieser Abschnitt beschreibt, wie Sie die Vertrauenseinstellungen für E-Mail (S/MIME) des Wurzelzertifikats "USERTrust RSA Certification Authority" überprüfen und korrigieren können. Dieses Wurzelzertifikat ist für alle E-Mail-Zertifikate von Sectigo zuständig.

1. Suchen Sie nach dem Wurzelzertifikat "USERTrust RSA Certification Authority" im Schlüsselbund "Anmeldung" der Mac Schlüsselbundverwaltung. Sie können die Suche mit Hilfe der Suche-Funktion oben rechts in der Schlüsselbundverwaltung durchführen.
2. Suchen Sie die Zeile mit Namen "USERTrust RSA Certification Authority" und Eintrag "Anmeldung" in der Spalte "Schlüsselbund" (siehe blau hinterlegte Zeile in der Abbildung des vorherigen Absatzes).
3. Durch einen Doppelklick auf diese Zeile öffnet sich die Detailansicht zu diesem Wurzelzertifikat (siehe Abbildung am Anfang dieses Absatzes).
4. Stellen Sie sicher, dass in der Zeile "S/MIME (Secure Mail)" der Wert "Immer vertrauen" eingestellt ist.

Nach Korrektur der Zertifikatskette sollte Ihr persönliches Nutzerzertifikat automatisch als vertrauenswürdig erkannt werden. Schließen Sie alle Fenster des E-Mail Programms und starten Sie Mac E-Mail neu. Nun sollte es möglich sein, sich selbst eine mit Ihrem eigenen Nutzerzertifikat signierte E-Mail zu schicken.