E-Mail-Zertifikate über TCS
Allgemeine Informationen zum Thema
E-Mail-Zertifikate.
Voraussetzungen für ein persönliches E-Mail-Zertifikat
- Sie müssen eine „ausgewiesene Person“ sein (Personen, bei denen nachweislich ein amtlicher Lichtbildausweis kontrolliert wurde, Sie sehen dann die Kachel „E-Mail-Zertifikat“ in TUGRAZonline).
- Sie brauchen eine von TUGRAZonline vergebene E-Mail-Adresse (@tugraz.at oder @student.tugraz.at) - nur für diese Adressen sind Zertifikate auf diesem Weg beziehbar!
- Sie brauchen einen Rechner mit Internetzugang und der Möglichkeit Dateien zu speichern.
Für nicht personenbezogene Adressen (z. B.
office.INSTITUT@tugraz.at) können Ihre EDV-Beauftragten
die Zertifikate hier beantragen, wenn Ihre
EDV-Beauftragten nicht erreichbar sind, können Sie das Zertifikat
auch am ZID beantragen.
Schritt 1: E-Mail-Zertifikat beantragen
Für ein Zertifikat für Ihre persönliche E-Mail-Adresse
öffnen Sie mit Ihrem bevorzugten Browser die Seite
Dort wählen Sie nach der SSO-Anmeldung am einfachsten die Kombination
„GÉANT Personal email signing and encryption“,
„730 days“,
„Key Generation“,
„RSA - 4096“ und
„Compatible TripleDES-SHA1“:
mit anderen Kombinationen kann es mit manchen E-Mail-Programmen zu Problemen
kommen.
Wählen Sie ein sicheres Kennwort um Ihr Zertifikat zu schützen.
Schritt 2: E-Mail-Zertifikat speichern
Sie bekommen nun eine Datei im Format PKCS#12 (
p12) zum Download
angeboten, diese speichern Sie entweder auf der Festplatte oder (wenn Sie
das Zertifikat auf mehreren Rechnern installieren wollen) z. B. in
der TU Graz Cloud ab.
In dieser Datei sind
Ihr
privater und Ihr öffentlicher Schlüssel passwort-gesichert
gespeichert.
Sollten Sie nicht gefragt werden, wo das Zertifikat gespeichert werden soll,
wird es im Default-Download-Ordner Ihres Browsers abgelegt.
Manche E-Mail-Programme (z. B. Apple Mail) greifen auf die
Zertifikate im Zertifikatsspeicher des Betriebssystems zu, daher ist es
sinnvoll das Zertifikat auch im Zertifikatsspeicher des Betriebssystems
(macOS: Schlüsselbund bzw. Windows: Zertifikatsmanager) abzulegen
(für Thunderbird ist das nicht notwendig).
Das geschieht durch Doppelklick auf die p12-Datei und Eingabe des
zuvor gewählten Kennworts (u. U. ist auch das Kennwort Ihres
Accounts auf dem Rechner einzugeben, damit der Zertifikatsspeicher
geändert werden kann).
Falls Sie das Zertifikat auf einem neuen Rechner oder in einem anderen Programm
installieren möchten, die Zertifikatsdatei aber nicht mehr verfügbar
haben, müssen Sie das Zertifikat aus dem alten Rechner bzw. dem anderen
Programm exportieren.
|
Schritt 3: E-Mail-Zertifikat installieren
Für E-Mail-Programme, die den Zertifikatsmanager des Betriebssystem
verwenden, ist im E-Mail-Programm nur noch das richtige Zertifikat
auszuwählen, bei anderen Programmen ist die
p12-Datei in jedem
Client und auf jedem Rechner, den man verwenden möchte, zu importieren.
- Thunderbird
- Outlook
- Mail für macOS und iOS/iPadOS
- Webmail (Studierende)
- OWA (Zertifikate funktionieren nur mit dem Internet Explorer unter Windows).
Alternativ können Sie im Browser RDS öffnen und dort im virtuellen Desktop Thunderbird verwenden.
Für Outlook sind für jedes zusätzliche Zertifikat folgende Schritte notwendig:
- Nachdem Sie das Zertifikat importiert haben, klicken Sie auf
„Einstellungen“.
- Ein neues Fenster „Sicherheitseinstellungen ändern“
öffnet sich.
- Wenn an dieser Stelle Ihre persönliche Sicherheitseinstellung
angezeigt wird, klicken Sie auf „Neu“.
- Geben Sie der Einstellung einen Namen.
- Mit „Auswählen“ können Sie der neuen
Einstellung das Zertifikat der zusätzlichen Adresse zuordnen
(„Weitere“ auswählen).
Auch für Android gibt es Apps, die S/MIME beherrschen, z. B. das aus Österreich stammende R2Mail2.
Schritt 4: E-Mail-Zertifikat verwenden
Wenn Sie die oben angegebenen Schritte durchgeführt haben, werden Ihre
E-Mails je nach Einstellungen ab nun automatisch signiert, an die E-Mail wird
dazu eine Datei im Format PKCS#7 angehängt. Sollte Ihnen jemand schreiben,
dass ein Anhang im
p7-Format nicht geöffnet werden konnte,
bedeutet das, dass dieser Empfänger ein sehr veraltetes Programm verwendet,
das mit S/MIME nicht umgehen kann.
Je nach Einstellungen werden E-Mails auch automatisch verschlüsselt oder
nur, wenn Sie das explizit fordern.
Je nach Client werden die E-Mails dann entsprechend angezeigt, im Thunderbird
z. B. so:
- Signiert
- Verschlüsselt
- Signiert und verschlüsselt