E-Mail-Zertifikate über TCS
Allgemeine Informationen zum Thema
E-Mail-Zertifikate.
Voraussetzungen für ein persönliches E-Mail-Zertifikat
- Sie müssen eine „ausgewiesene Person“ sein (Personen, bei denen nachweislich ein amtlicher Lichtbildausweis kontrolliert wurde, Sie sehen dann die Kachel „E-Mail-Zertifikat“ in TUGRAZonline).
- Sie brauchen eine von TUGRAZonline vergebene E-Mail-Adresse (@tugraz.at oder @student.tugraz.at) - nur für diese Adressen sind Zertifikate auf diesem Weg beziehbar!
- Sie brauchen einen Rechner mit Internetzugang und der Möglichkeit Dateien zu speichern.
Für nicht personenbezogene Adressen (z. B.
office.INSTITUT@tugraz.at) können Ihre EDV-Beauftragten
die Zertifikate hier beantragen, wenn Ihre
EDV-Beauftragten nicht erreichbar sind, können Sie das Zertifikat
auch über den ZID beantragen.
Schritt 1: E-Mail-Zertifikat beantragen
Die E-Mail-Zertifikate können über den
Certificate Manager
(CM) von HARICA im
Self-Service bezogen werden.
Schritt 2: E-Mail-Zertifikat speichern
Sie bekommen nun eine Datei im Format PKCS#12 (
p12) zum Download
angeboten, diese speichern Sie entweder auf der Festplatte oder (wenn Sie
das Zertifikat auf mehreren Rechnern installieren wollen) z. B. in
der TU Graz Cloud ab.
In dieser Datei sind
Ihr
privater und Ihr öffentlicher Schlüssel passwort-gesichert
gespeichert.
Sollten Sie nicht gefragt werden, wo das Zertifikat gespeichert werden soll,
wird es im Default-Download-Ordner Ihres Browsers abgelegt.
Manche E-Mail-Programme (z. B. Apple Mail) greifen auf die
Zertifikate im Zertifikatsspeicher des Betriebssystems zu, daher ist es
sinnvoll das Zertifikat auch im Zertifikatsspeicher des Betriebssystems
(macOS: Schlüsselbund bzw. Windows: Zertifikatsmanager) abzulegen
(für Thunderbird ist das nicht notwendig).
Das geschieht durch Doppelklick auf die p12-Datei und Eingabe des
zuvor gewählten Kennworts (u. U. ist auch das Kennwort Ihres
Accounts auf dem Rechner einzugeben, damit der Zertifikatsspeicher
geändert werden kann).
Schritt 3: E-Mail-Zertifikat installieren
Für E-Mail-Programme, die den Zertifikatsmanager des Betriebssystem
verwenden, ist im E-Mail-Programm nur noch das richtige Zertifikat
auszuwählen, bei anderen Programmen ist die
p12-Datei in jedem
Client und auf jedem Rechner, den man verwenden möchte, zu importieren.
Nach dem Instalieren müssen die (neuen) Zertifikate den E-Mail-Adressen
i. Allg. auch explizit zugewiesen werden!
Für Outlook sind für jedes zusätzliche Zertifikat folgende Schritte notwendig:
- Nachdem Sie das Zertifikat importiert haben, klicken Sie auf
„Einstellungen“.
- Ein neues Fenster „Sicherheitseinstellungen ändern“
öffnet sich.
- Wenn an dieser Stelle Ihre persönliche Sicherheitseinstellung
angezeigt wird, klicken Sie auf „Neu“.
- Geben Sie der Einstellung einen Namen.
- Mit „Auswählen“ können Sie der neuen
Einstellung das Zertifikat der zusätzlichen Adresse zuordnen
(„Weitere“ auswählen).
Auch für Android gibt es Apps, die S/MIME beherrschen, z. B. das aus Österreich stammende R2Mail2.
Schritt 4: E-Mail-Zertifikat verwenden
Wenn Sie die oben angegebenen Schritte durchgeführt haben, werden Ihre
E-Mails je nach Einstellungen ab nun automatisch signiert, an die E-Mail wird
dazu eine Datei im Format PKCS#7 angehängt. Sollte Ihnen jemand schreiben,
dass ein Anhang im
p7-Format nicht geöffnet werden konnte,
bedeutet das, dass dieser Empfänger ein sehr veraltetes Programm verwendet,
das mit S/MIME nicht umgehen kann.
Je nach Einstellungen werden E-Mails auch automatisch verschlüsselt oder
nur, wenn Sie das explizit fordern.
Je nach Client werden die E-Mails dann entsprechend angezeigt, im Thunderbird
z. B. so:
- Signiert
- Verschlüsselt
- Signiert und verschlüsselt
E-Mail-Zertifikat teilen
Wenn Sie das E-Mail-Zertifikat auf einem weiteren Rechner installieren
möchten und sie haben das Originalzertifikat bzw. das originale
Import-Kennwort nicht mehr, dann können Sie das Zertifikat mit einem
neuen Import-Kennwort exportieren:
- Thunderbird
- Outlook
Weiterführende Infos zum Exportieren des Zertifikats.
