Apple Mail und S/MIME

[Shark88]

Hallo zusammen,

ich kämpfe gerade mit der S/MIME Funktion in Apple Mail. Früher hatte ich hier Zertifikate von Comodo oder TrustCenter genutzt, wollte aber gerne auf selbst signierte Zertifikate wechseln. Hierzu habe ich mir über die Schlüsselbundverwaltung eine Zertifizierungsinstanz mit dem dazugehörigen CA-Zertifikat erstellt. Jetzt habe ich für jede Adresse ein eigenes Nutzer-Zertifikat angelegt, diese Zertifikate werden mir allerdings in Apple Mail unter Einstellungen -> Accounts -> TLS-Zertifikat nicht angezeigt. Dennoch kann ich von einer Adresse senden und er nutzt das dazugehörige Zertifikat, auch wenn unter TLS-Zertifikat "Ohne" ausgewählt bleibt.
Nun also Frage ein, könnt ihr unter TLS-Zertifikat selbst erstellte Zertifikate finden?

Komischerweise nutzt er für die andere Adresse auch das Zertifikat der ersten Adresse, obwohl hier die E-Mail im Zertifikat gar nicht stimmt. Ich kann mir momentan keinen Reim daraus machen nach welchen Kriterium er die Zertifikate auswählt und warum selbst erstellte Zertifikate dort nicht mehr auftauchen, ich bilde mir aber ein, das ich vorher alle Zertifikate dort auswählen konnte!

 

[Marcel Bresink]

diese Zertifikate werden mir allerdings in Apple Mail unter Einstellungen -> Accounts -> TLS-Zertifikat nicht angezeigt

Diese Einstellung hat auch nichts mit S/MIME zu tun, sondern ist für etwas ganz anderes gedacht: Es kann Mail-Server geben, die erzwingen, dass Du Dich nicht nur mit Name und Kennwort anmeldest, sondern dass sich zusätzlich auch noch Dein Rechner mit einem Zertifikat ausweisen muss. Für diesen speziellen Fall kann dort ein TLS-Zertifikat hinterlegt werden.

wollte aber gerne auf selbst signierte Zertifikate wechseln.

Sofern es nicht um hausinterne E-Mail geht, ergibt das keinen großen Sinn. Die Empfänger werden auf diese Weise bei allen Deinen Mails eine Warnung erhalten, dass die Mail zwar unterzeichnet ist, aber das Zertifikat von einer nicht vertrauensvollen Instanz stammt.

 

[Shark88]

Danke für die Antwort. Wie bin ich da nur drauf gekommen das diese Zertifikat für S/MIME genutzt wird...
Dann sucht sich Apple Mail also aus dem Schlüsselbund das Zertifikat mit der passenden E-Mail heraus und da fangen dann die Problemen an. Wenn ich zwei Zertifikate mit der selben Mail-Adresse habe, z.b. weil ich auf ein neues Zertifikat gewechselt habe, wie kann ich denn entscheiden, welche Zertifikat die Mail App nutzt?

EDIT: Nach ein bisschen weiterforschen im Netz nimmt Apple Mail wohl einfach das erste passende Zertifikat...Naja manchmal wäre ein einfacher Auswahldialog doch hilfreich!

Sofern es nicht um hausinterne E-Mail geht, ergibt das keinen großen Sinn. Die Empfänger werden auf diese Weise bei allen Deinen Mails eine Warnung erhalten, dass die Mail zwar unterzeichnet ist, aber das Zertifikat von einer nicht vertrauensvollen Instanz stammt.

Naja zumindest sind die privaten Schlüssel alle bei mir und zum verschlüsseln von Mails mit bekannten Empfängern, die mein CA Zertifikat natürlich haben, ergibt das dann schon Sinn.

 

[Bananenbieger]

Naja zumindest sind die privaten Schlüssel alle bei mir und zum verschlüsseln von Mails mit bekannten Empfängern, die mein CA Zertifikat natürlich haben, ergibt das dann schon Sinn.

Nicht wirklich, denn die privaten Schlüssel gibst Du ja in beiden Fällen nicht aus der Hand. Nicht umsonst heißt steht PKI ja für Public Key Infrastructure.

 

[Shark88]

@Bananenbieger Anbieter wie COMODO oder StartSSL generieren aber den privaten Schlüssel, sodass der schon beim Erzeugen bei einer dritten Partei ist. Ob man das nun will oder nicht... Ich habe leider noch keinen Anbieter gefunden gehabt, bei dem man sein selbst erstelltes Zertifikat entsprechend signieren lassen kann, bzw. seinen privaten Schlüssel authentifiziert mittels Signatur.

 

[Bananenbieger]

Kein Problem: GlobalSign unterstützt das.

 

[Shark88]

Danke dir! Das ist vom Preis sogar vertretbar.

Also eine kurze Zusammenfassung:
Apple Mail sucht sich beliebig ein Zertifikat für die E-Mail (das erste Zertifikat, das es findet) Ich kann also keine zwei Zertifikate mit der gleichen E-Mail nutzen, bzw. mein CA-Zertifikat hat dummerweise eine meiner E-Mailadressen mit im Zertifikat, d.h. wenn ich für diese Mailadresse ein Zertifikat mit dieser CA austelle, dann signiert er die E-Mail mit dem CA Zertifikat. Wenn ich den Zugriff der Mail.app auf das CA-Zertifikat unterbinde, dann signiert er eben nicht, statt sich das vorhandene Zertifikat zu nehmen... Das muss wohl so sein...

Ich werde meine selbst-zertifizierten Zertifikate wohl nochmal überdenken müssen...

Die Frage ist natürlich was mache ich mit alten verschlüsselten E-Mail, sobald ich mein Zertifikat erneuern muss?

 

[Bananenbieger]

Du musst natürlich das alte Zertifikat und vor allem den Private Key behalten. Dann lassen sich alle Mails auch nach Ablauf des Zertifikates problemlos entschlüsseln.

 

[Shark88]

Ja das ist mir schon bewusst, mir ging es um die genaue Umsetzung! Wenn ich ein neue Zertifikat habe, muss ich das alte ja aus dem Schlüsselbund nähmen, da ich Mail ja nicht sagen kann welches Zertifikat genutzt werden soll. Dann kann er aber auch die Mails nicht mehr zur Ansicht entschlüsseln... Es scheint als ob diese Funktion eher halbherzig mit eingebaut ist. Bei Thunderbird kann man das Zertifikat wählen, das pro Konto genutzt werden soll.

Aber vielleicht schafft er es ja das dann abgelaufene Zertifikat nur zum Entschlüsseln zu nutzen und das neue zum Signieren.

 

[Bananenbieger]

Du speicherst einfach das neue Zertifikat und lässt das alte unberührt.