E-Mail-Zertifikate über TCS

Allgemeine Informationen zum Thema E-Mail-Zertifikate.

Voraussetzungen für ein persönliches E-Mail-Zertifikat

  • Sie müssen eine „ausgewiesene Person“ sein (Personen, bei denen nachweislich ein amtlicher Lichtbildausweis kontrolliert wurde, Sie sehen dann die Kachel „E-Mail-Zertifikat“ in TUGRAZonline).
  • Sie brauchen eine von TUGRAZonline vergebene E-Mail-Adresse (@tugraz.at oder @student.tugraz.at) - nur für diese Adressen sind Zertifikate auf diesem Weg beziehbar!
  • Sie brauchen einen Rechner mit Internetzugang und der Möglichkeit Dateien zu speichern.

Für nicht personenbezogene Adressen (z. B. office.INSTITUT@tugraz.at) können Ihre EDV-Beauftragten die Zertifikate hier beantragen, wenn Ihre EDV-Beauftragten nicht erreichbar sind, können Sie das Zertifikat auch am ZID beantragen.

Schritt 1: E-Mail-Zertifikat beantragen

Für ein Zertifikat für Ihre persönliche E-Mail-Adresse öffnen Sie mit Ihrem bevorzugten Browser die Seite

https://cert-manager.com/customer/ACOnet/idp/clientgeant

Dort wählen Sie nach der SSO-Anmeldung am einfachsten die Kombination „GÉANT Personal email signing and encryption“, „730 days“, „Key Generation“, „RSA - 4096“ und „Compatible TripleDES-SHA1“:

mit anderen Kombinationen kann es mit manchen E-Mail-Programmen zu Problemen kommen.

Wählen Sie ein sicheres Kennwort um Ihr Zertifikat zu schützen.

Schritt 2: E-Mail-Zertifikat speichern

Sie bekommen nun eine Datei im Format PKCS#12 (p12) zum Download angeboten, diese speichern Sie entweder auf der Festplatte oder (wenn Sie das Zertifikat auf mehreren Rechnern installieren wollen) z. B. in der TU Graz Cloud ab. In dieser Datei sind Ihr privater und Ihr öffentlicher Schlüssel passwort-gesichert gespeichert.
Sollten Sie nicht gefragt werden, wo das Zertifikat gespeichert werden soll, wird es im Default-Download-Ordner Ihres Browsers abgelegt.

Manche E-Mail-Programme (z. B. Apple Mail) greifen auf die Zertifikate im Zertifikatsspeicher des Betriebssystems zu, daher ist es sinnvoll das Zertifikat auch im Zertifikatsspeicher des Betriebssystems (macOS: Schlüsselbund bzw. Windows: Zertifikatsmanager) abzulegen (für Thunderbird ist das nicht notwendig).
Das geschieht durch Doppelklick auf die p12-Datei und Eingabe des zuvor gewählten Kennworts (u. U. ist auch das Kennwort Ihres Accounts auf dem Rechner einzugeben, damit der Zertifikatsspeicher geändert werden kann).

Falls Sie das Zertifikat auf einem neuen Rechner oder in einem anderen Programm installieren möchten, die Zertifikatsdatei aber nicht mehr verfügbar haben, müssen Sie das Zertifikat aus dem alten Rechner bzw. dem anderen Programm exportieren.

Schritt 3: E-Mail-Zertifikat installieren

Für E-Mail-Programme, die den Zertifikatsmanager des Betriebssystem verwenden, ist im E-Mail-Programm nur noch das richtige Zertifikat auszuwählen, bei anderen Programmen ist die p12-Datei in jedem Client und auf jedem Rechner, den man verwenden möchte, zu importieren.
  • Thunderbird
  • Outlook
  • Mail für macOS und iOS/iPadOS
  • Webmail (Studierende)
  • OWA (Zertifikate funktionieren nur mit dem Internet Explorer unter Windows). Alternativ können Sie im Browser RDS öffnen und dort im virtuellen Desktop Thunderbird verwenden.

Für Outlook sind für jedes zusätzliche Zertifikat folgende Schritte notwendig:

  1. Nachdem Sie das Zertifikat importiert haben, klicken Sie auf „Einstellungen“.
  2. Ein neues Fenster „Sicherheitseinstellungen ändern“ öffnet sich.
  3. Wenn an dieser Stelle Ihre persönliche Sicherheitseinstellung angezeigt wird, klicken Sie auf „Neu“.
  4. Geben Sie der Einstellung einen Namen.
  5. Mit „Auswählen“ können Sie der neuen Einstellung das Zertifikat der zusätzlichen Adresse zuordnen („Weitere“ auswählen).

Auch für Android gibt es Apps, die S/MIME beherrschen, z. B. das aus Österreich stammende R2Mail2.

Schritt 4: E-Mail-Zertifikat verwenden

Wenn Sie die oben angegebenen Schritte durchgeführt haben, werden Ihre E-Mails je nach Einstellungen ab nun automatisch signiert, an die E-Mail wird dazu eine Datei im Format PKCS#7 angehängt. Sollte Ihnen jemand schreiben, dass ein Anhang im p7-Format nicht geöffnet werden konnte, bedeutet das, dass dieser Empfänger ein sehr veraltetes Programm verwendet, das mit S/MIME nicht umgehen kann.
Je nach Einstellungen werden E-Mails auch automatisch verschlüsselt oder nur, wenn Sie das explizit fordern.

Je nach Client werden die E-Mails dann entsprechend angezeigt, im Thunderbird z. B. so:

  • Signiert
  • Verschlüsselt
  • Signiert und verschlüsselt