Zum Inhalt

Relevante Konzepte

Im Folgenden werden einige grundlegende Dinge zum Umgang mit X509-Zertifikaten beschrieben. Wir gehen in den restlichen Anleitungen davon aus, dass alle Leser:innen diese Seite gelesen und verstanden haben.

Tip

Die zentrale Kernaussage(n) jedes Abschnitts sind in Boxen wie dieser zusammengefasst.

Genereller Aufbau

X509-Zertifikate sind Bestandteil eines asymmetrischen Kryptosystems.

Es gibt also für jedes Zertifikat ein Paar aus geheimen Schlüssel und öffentlichen Schlüssel. Das eigentliche Zertifikat ist der öffentliche Schlüssel zusammen mit der Signatur einer Zertifizierungsstelle sowie einem Satz an Attributen (Name, Gültigkeitszeitraum, Einsatzzwecke, Seriennummer, …).

E-Mail-Absender verschlüsseln E-Mail mit einen öffentlichen Schlüssel. Empfänger entschlüsseln diese dann mit dem geheimen Schlüssel. Mails werden mit dem geheimen Schlüssel unterschrieben („signiert“) und dem öffentlichen Schlüssel geprüft („validiert“).

Wie der Name suggeriert, muss der geheime Schlüssel geheim gehalten werden. Jeder, der diesen besitzt, kann damit sowohl verschlüsselte Nachrichten entschlüsseln als auch im Namen des Zertifikatsinhabers Dokumente und Nachrichten signieren. Deswegen sind alle Verfahren zur Erzeugung eines geheimen Schlüssels darauf ausgelegt, dass nur die beantragende Person diesen selber erzeugt und dabei keine Kopien für Dritte erzeugt werden.

Backups

Daraus folgt, dass die privaten Schlüssel nur beim Zertifikats-Inhaber existieren. Deswegen müssen diese sich auch selber darum kümmern, sichere Backups aller privaten Schlüssel zu erstellen. Und zwar so lange, wie irgendjemand die dafür verschlüsselten E-Mails noch lesen will. Das ist potenziell bis zum Ende des Dienstverhältnisses mit dem KIT! Sorgen Sie dafür, dass Sie auch die Passwörter der .p12-Dateien noch in vielen Jahren wissen/wiederfinden können.

Backups

Machen Sie sichere Backups/Kopien der privaten Schlüssel sämtlicher Zertifikate bis zum Ende ihres Dienstverhältnisses mit dem KIT. Die privaten Schlüssel sind normalerweise in Dateien mit der Endung .p12 oder .pfx enthalten. Denken Sie auch daran, die zugehörigen Passwörter zu sichern.

E-Mails immer Signieren

Um E-Mails zu verschlüsseln, benötigt der Absender vorab die Zertifikate sämtlicher Empfänger. Nutzer von Outlook am KIT erhalten diese über die GAL („Globale Adressliste“). Nutzer anderes E-Mail-Clients speichern diese automatisch aus signierten E-Mails.

E-Mails immer Signieren

Signieren Sie alle E-Mails. Damit stellen Sie sicher, das sämtliche ihrer Korrespondenz-Partner ihr Zertifikat haben und dass Ihre E-Mails Ihnen klar zugeordnet werden können.

Nur ein Zertifikat pro Identität

Beim verschlüsselten Versenden wählt der E-Mail-Client des Absenders für jeden Empfänger genau ein Zertifikat aus. Wenn der E-Mail-Client mehrere gültige Zertifikate kennt wird nach irgendwelchen (oft nicht dokumentierten) Regeln irgendeines ausgewählt; normalerweise entweder das Neueste oder das mit der längsten Gültigkeit. Deswegen sollte es immer nur ein gültiges Zertifikat pro Identität geben.

Verlorene Zertifikate immer sperren

Wenn Sie für ein Zertifikat keinen Zugriff (mehr) auf den zugehörigen geheimen Schlüssel haben, sperren Sie dieses umgehend. Dann bekommen Sie keine nicht-entschlüsselbaren E-Mails.

Der Prozess zum Sperren von Zertifikaten ist hier beschrieben.

Wenn Sie auf mehr als einem Endgerät Mails Signieren oder Entschlüsseln wollen, müssen Sie ihren privaten Schlüssel und das Zertifikat (in der Praxis: die .p12-Datei) auf sicherem Weg auf alle Geräte kopieren und dort einrichten.

Zertifikat auf alle Endgeräte verteilen

Kopieren Sie ihr aktuelles Zertifikat auf alle relevanten Endgeräte.