E-Mails per S/MIME signieren und verschlüsseln (Mac/iOS)

S/MIME Screenshot mit Verifizierungshäkchen

Auf dem Mac und dem iPhone kann man von Haus aus per S/MIME signierte oder verschlüsselte E-Mails empfangen bzw. versenden. Zum Versenden benötigt man ein eigenes Zertifikat, mit dem der Aussteller die Echtheit einer E-Mail-Adresse bestätigt. Der Besitzer des privaten Schlüssels für diese E-Mail-Adresse kann sich damit über das Zertifikat als Absender exakt dieser Mailadresse authentifizieren.

Ich beschreibe im Folgenden, wie man an ein Zertifikat kommt und dieses auf dem Mac sowie dem iPhone installiert.

Zertifikat erstellen

Es gibt mehrere Zertifikatsklassen, meinen Zwecken genügt ein kostenloses Class-1-Zertifikat. Die höherklassigen Zertifikate bescheinigen u.a. auch die Echtheit des Namens oder der Firma. Ich habe mir mein kostenloses Zertifikat in wenigen Minuten von StartSSL ausstellen lassen.

Hierzu StartSSL ansurfen und per „Express Lane“ einen Account erstellen. Dadurch wird ein Zertifikat installiert, durch das ihr euch auch später wieder der Webseite gegenüber authentifizieren und Zertifikate für weitere E-Mail-Adressen anlegen könnt. Gleichzeitig gilt das Zertifikat für die bei der Registrierung angegebene Mailadresse. (Danke markus3g für den Hinweis)

Sollen weitere Mailadressen ein Zertifikat erhalten, einfach über den „Validations Wizard“ die gewünschten Mailadressen validieren und über den „Certificates Wizard“ das S/MIME-Zertifikat für diese Mailadresse erstellen. Das Zertifikat samt privatem Schlüssel wird dadurch auf eurem Mac installiert.

Ab jetzt könnt ihr mit Mail.app auf dem Mac bereits Mails verschlüsseln oder signieren, für die ihr Zertifikate erstellt habt.

Zertifikat auf das iPhone schieben

Nun die Schlüsselbundverwaltung öffnen, in die Kategorie „Meine Zertifikate“ wechseln (Danke markus3g für den Hinweis) und die jeweiligen Zertifikate heraussuchen (Namensschema: name@domain.tld (zufaelligezeichenkette)). Diese Zertifikate per Rechtsklick als .p12-Datei exportieren. (Sollte der Menüeintrag trotz korrekter Auswahl fehlen, soll ein mehrmaliger Neustart der Schlüsselbundverwaltung helfen.) Das Format ist wichtig, da die anderen den notwendigen privaten Schlüssel nicht enthalten. Daraufhin müsst ihr für das Zertifikat ein sicheres Passwort eingeben. Falls euch das die Wahl erleichtert: es muss nur einmalig während der Installation auf dem iPhone eingegeben werden. Die exportierten .p12-Dateien müsst ihr dann irgendwie auf das iPhone bekommen (sich per E-Mail schicken, in die Dropbox legen, you name it, Airdrop für iOS (kleiner Scherz, seufz), …)

Auf dem iPhone

Für StartSSL muss ein Intermediatezertifikat auf dem iPhone installiert werden. Hierzu https://www.startssl.com/certs/sub.class1.client.ca.pem) im Browser auf dem iPhone öffnen und installieren. Dann eure .p12-Dateien öffnen und installieren, sowie im Anschluss in den erweiterten Einstellungen eures Mailaccounts den Schalter für S/MIME umlegen und dort die gewünschten Optionen (Signieren, Verschlüsseln) aktivieren. iOS 6 ist hier übrigens etwas buggy: Will man nachträglich Änderungen vornehmen, muss man sich erst wieder aus den Einstellungen zurück zur Startseite hangeln und dann wieder in die Maileinstellungen navigieren.

Nachtrag: Lesenswerter Hinweis von dentaku bzgl. des Vorwurfs, Zertifikate von StartSSL wären unsicher.

Also read...

2 Pingbacks/Trackbacks

Kommentare

  1. Ich weiß nicht ob du dich damit auskennst, aber nachdem ich mein Zertifikat auf StartSSL erstellt habe hat Safari dieses runtergeladen und automatischen in die Schlüsselbundverwaltung geschmissen, dort heißt es, dass das Zertifikat von einer Unbekannten Instanz ausgestellt wurde. Validation Wizard sagt ich hätte meine Mailadresse schon validiert und Certificate Wizard sagt, dass keine Mailadresse zertifiziert werden kann. Passt das bei mir so oder habe ich etwas falsch gemacht? Ansonsten super Blog!

    Antworten
    • Ich habe den Artikel oben nochmal leicht überarbeitet. Wenn du die E-Mail-Adresse, mit der du signierte oder verschlüsselte E-Mails verschicken können willst, bei der Erstellung des Zertifikats angegeben hast, dann gilt das 1. Zertifikat bereits für diese E-Mail-Adresse und kann daher auch nicht erneut validiert werden.

      Warum startssl bei dir als unbekannte Instanz aufgeführt wird, kann ich dir nicht genau sagen. Eigentlich sollten die StartCom-Zertifikate bei allen gängen Systemen und Browsern als gültiges Rootzertifikat verfügbar sein. Evtl. fehlt das Zwischenstück. Du kannst ja mal versuchen das folgende Intermediatezertifikat auch auf deinem Mac zu installieren (http://www.startssl.com/certs/sub.class1.client.ca.pem)

      Antworten
      • Ich hatte genau das gleiche Problem. Nachdem ich das Client Class 1 Zertifikat installiert habe, wird es als gültiges Zertifikat angenommen.
        Danke.

        Antworten
  2. Pingback: Hilfreiche Links zur E-Mail-Verschlüsselung › Impulse

  3. Das Ver-/Entschlüsseln über S/MIME klappt sehr gut bei mir auf dem Mac, leider funktioniert die Suchfunktion von Mail.app aber nicht mit den verschlüsselten Nachrichten. In dem Mail-app Einstellungen habe ich „When searching all mailboxes, include results from: Encrypted Messages“ aktiviert, aber das hat leider keinen Effekt.

    Funktioniert die Suche bei euch auch nicht oder ist das nur bei mir so?

    Antworten
      • Alles klar, dann ist es wahrscheinlich ein genereller Bug. Ich denke, ich werde bis zum Release von 10.9 in 1-2 Monaten warten und wenn die Suche der verschlüsselten E-Mails dann immer noch nicht funktioniert, im Apple-Support-Forum darüber posten.

        Danke jedenfalls für die schnelle Rückmeldung!

        Antworten
        • Ich weiß nicht, ob das für euch noch interessant ist, aber mMn ist das kein Bug sondern ein Feature!

          Wenn die Suche verschlüsselte Nachrichten durchsuchen dürfte wäre ich eher misstrauisch. 😉

          Antworten
  4. Ein Neustart des Schlüsselbundes ist nicht zwingend notwendig, wenn das Kontextmenü nicht mitspielt: Es reicht auch, einfach ein anderes Zertifikat auszuwählen oder (falls kein anderes vorhanden ist) auf eine leere Zeile der Tabelle doppelklicken. Danach kann das Zertifikat mit Rechtsklick importiert werden.

    Antworten
  5. Pingback: Links zu E-Mail-Sicherheit | Froitzheims Wortpresse

  6. Kann iOS8 eigentlich mittlerweile .p7s?
    Wenn ich solch ein Zertifkat im Schlüsselbund habe (in dem Fall von Comodo), müsste es doch eigentlich automatisch dort in der Auswahl der Zertifikate auftauchen, oder?

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.