Ijon Tichy
Clairgeau
- Registriert
- 21.11.06
- Beiträge
- 3.693
Eine Fehlerquelle fällt mir da noch ein: Sind deine Absender-E-Mail, die du in Mail konfiguriert hast, und die Mail-Adresse, für die das Zertifikat ausgestellt wurde, auch identisch?
-
Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
Näheres könnt Ihr hier nachlesen: AGB-Änderung -
Wir haben den Frühjahrsputz beendet, Ihr auch? Welches Foto zu dem Thema hat Euch dann am Besten gefallen? Hier geht es lang zur Abstimmung --> Klick
Feature Anleitung: E-Mail verschlüsseln auf Mac und iOS
- Ersteller Michael Reimann
- Erstellt am
Ijon Tichy
Clairgeau
- Registriert
- 21.11.06
- Beiträge
- 3.693
"Meine Zertifikate" ist eine Untermenge von "Zertifikate". Wenn es dort nicht zu sehen ist, wurde beim Import nicht erkannt, dass es dir gehört...Hast du vor dem Import "Anmeldung" und "Meine Zertifikate" markiert?
Hallo, bin neu hier,
ich kenne mich eigentlich schon ein wenig aus, gerade aber hakt's beim Einstellen von S/MIME unter Apple Mail auf OSX:
Ich habe ein StartSSL-Zertifikat erstellt, soweit alles ok - und dann die höhere Zertifikatsstufe erworben. Nun habe ich beide Zertifikate im Schlüsselbund.
Mail verwendet aber stur nur das erste (geringere) zum Signieren.
Ich kann partout nichts darüber finden, wie man das passende Zertifikat auswählt.
Das erste zu löschen ist doch keine Lösung, denn damit würden ja alle damit erstellten Nachrichten unlesbar (und hier im thread hieß es ja, die alten können/sollen bleiben).
Wie also kriege ich Mail dazu, für die neu erstellten Mails das aktuellste Zertifikat (oder ein manuell gewähltes) zu nehmen?
ich kenne mich eigentlich schon ein wenig aus, gerade aber hakt's beim Einstellen von S/MIME unter Apple Mail auf OSX:
Ich habe ein StartSSL-Zertifikat erstellt, soweit alles ok - und dann die höhere Zertifikatsstufe erworben. Nun habe ich beide Zertifikate im Schlüsselbund.
Mail verwendet aber stur nur das erste (geringere) zum Signieren.
Ich kann partout nichts darüber finden, wie man das passende Zertifikat auswählt.
Das erste zu löschen ist doch keine Lösung, denn damit würden ja alle damit erstellten Nachrichten unlesbar (und hier im thread hieß es ja, die alten können/sollen bleiben).
Wie also kriege ich Mail dazu, für die neu erstellten Mails das aktuellste Zertifikat (oder ein manuell gewähltes) zu nehmen?
Einmal nein, einmal ja. Beide Male hat es nicht funktioniert.
Ich gehe über "Ablage - Objekte importieren" zur .p7s-Datei und wähle als Ziel-Schlüsselbund "Anmeldung". Dann bestätige ich. Dann werden 4 Zertifikate (AddTrust External CA Root, COMODO Client Authentication and Secure Email CA, UTN-USERFirst-Client Authentication and Email, [email protected]) im Schlüsselbund erstellt. Danach habe ich einen Neustart durchgeführt.
Als ich das letzte Mal ein Zertifikat erfolgreich in den Schlüsselbund importiert habe (alter Mac), sah das anders aus. Da war zwischen Bestätigung und Erstellung der Zertifikate noch irgendein anderes Fenster, wo ich etwas bestätigen musste.
EDIT: Ich habe soeben testweise ein neues Zertifikat für eine uralte, nicht mehr benutzte Mailadresse beantragt, heruntergeladen und per Doppelklick in den Schlüsselbund importiert. Siehe da, es funktioniert.
Dann habe ich die E-Mails rausgesucht, die Comodo zur Abholung der Zertifikate verschickt und auf diesem Weg die Originalzertifikate für alle anderen E-Mail Adresse nochmals geladen (beantragt im Mai 2014). Diese Zertifikate lassen sich aber nicht importieren!
Zuletzt bearbeitet:
Rechtsklick auf das Zertifikat > Neue Identitätseinstellung > Email Adresse eingeben und darunter das neue Zertifikat auswählen.
Eine blöde Frage: Du hast bei dem Versuch auch das neue Zertifikat ausgewählt? 
Hatte das Problem auch vor ein paar Monaten (Wechsel von SHA-1 auf SHA-256) und das Problem war, dass man beide Zertifikate im Auswahlmenü nicht auseinander halten konnte, da sie gleich benannt waren. Und dabei habe ich auch mehrere Anläufe benötigt um das Richtige zu erwischen.
Ansonsten schau mal in den Accounteinstellungen von Mail. Da kann man, wenn ich mich recht erinnere glaube auch die Identität auswählen. Wechsel da testhalber einmal hin und her. Ansonsten habe ich auch keine weitere Idee.
Hatte das Problem auch vor ein paar Monaten (Wechsel von SHA-1 auf SHA-256) und das Problem war, dass man beide Zertifikate im Auswahlmenü nicht auseinander halten konnte, da sie gleich benannt waren. Und dabei habe ich auch mehrere Anläufe benötigt um das Richtige zu erwischen.
Ansonsten schau mal in den Accounteinstellungen von Mail. Da kann man, wenn ich mich recht erinnere glaube auch die Identität auswählen. Wechsel da testhalber einmal hin und her. Ansonsten habe ich auch keine weitere Idee.
Danke dir in jedem Fall! Konnte die Identität in Mail ebenfalls nicht auswählen. 
Wie gesagt: nicht mal der Download der Zertifikate direkt von Comodo half. Bei keinem der alten Zertifikate (4 gesamt). Bei einem experimentell frisch beantragten ging's beim ersten Klick.
Wie gesagt: nicht mal der Download der Zertifikate direkt von Comodo half. Bei keinem der alten Zertifikate (4 gesamt). Bei einem experimentell frisch beantragten ging's beim ersten Klick.
Ups, nächste Frage:
Ich habe zwei eigene Mailaccounts unter verschiedenen Domains [email protected] und [email protected]. Für beide habe ich S/MIME-Zertifikate und Schlüssel.
Die Verschlüsselung und Entschlüsselung funktioniert auch prima, solange ich vom Mobilgerät iOS auf den Mac OSX schicke - von einer Mailadresse zur anderen und ebenso [email protected] an [email protected]. Der Mac kann diese dann auch lesen/entschlüsseln
Aber: Wenn ich auf dem Mac eine Mail von [email protected] an mich auf [email protected] versenden möchte, kann ich dabei nur signieren, nicht aber verschlüsseln.
Selbst wenn ich von [email protected] auf [email protected] etwas verschicken will. Das verstehe ich nicht.
Muss auch hier der öffentliche Schlüssel erst irgendwo installiert werden?
Dafür habe ich aber keinen Menüpunkt gefunden.
Ich habe zwei eigene Mailaccounts unter verschiedenen Domains [email protected] und [email protected]. Für beide habe ich S/MIME-Zertifikate und Schlüssel.
Die Verschlüsselung und Entschlüsselung funktioniert auch prima, solange ich vom Mobilgerät iOS auf den Mac OSX schicke - von einer Mailadresse zur anderen und ebenso [email protected] an [email protected]. Der Mac kann diese dann auch lesen/entschlüsseln
Aber: Wenn ich auf dem Mac eine Mail von [email protected] an mich auf [email protected] versenden möchte, kann ich dabei nur signieren, nicht aber verschlüsseln.
Selbst wenn ich von [email protected] auf [email protected] etwas verschicken will. Das verstehe ich nicht.
Muss auch hier der öffentliche Schlüssel erst irgendwo installiert werden?
Dafür habe ich aber keinen Menüpunkt gefunden.
Genau so ist es. Der öffentliche Schlüssel wird automatisch mitgesendet, sobald Du jemandem eine signierte Email sendest. Wenn Du also eine signierte Mail von mail*AT*a.de an mail*AT*b.de (und andersherum) sendest, sollte dieses erledigt sein und die öffentlichen Schlüssel sollten im jeweiligen Schlüsselbund auffindbar sein. Und ab diesem Zeitpunkt dürfte auch der verschlüsselte Versand funktionieren.
Hoffe ich!
Ja, das dachte ich auch. Aber irgendwie funktioniert's nicht.
Allerdings hab ich das nochmal eingegrenzt: Nur, wenn die Mail mit dem StartSSL-Schlüssel ("unbekannte Instanz") beteiligt ist - als Sender oder Empfänger -, mag er nicht. Signieren geht, aber Verschlüsseln nicht. Bleibt hartnäckig ausgegraut.
Allerdings: Warum kümmert sich iOS nicht darum und verschlüsselt trotzdem?
Brauche ich jetzt irgendwie ein Root-Zertifikat oder muss ich dem Zertifikat manuell "immer vertrauen" zuweisen? Da beisst jetzt mein Wissen aus.
Vielen Dank für eure Hilfe!
Allerdings hab ich das nochmal eingegrenzt: Nur, wenn die Mail mit dem StartSSL-Schlüssel ("unbekannte Instanz") beteiligt ist - als Sender oder Empfänger -, mag er nicht. Signieren geht, aber Verschlüsseln nicht. Bleibt hartnäckig ausgegraut.
Allerdings: Warum kümmert sich iOS nicht darum und verschlüsselt trotzdem?
Brauche ich jetzt irgendwie ein Root-Zertifikat oder muss ich dem Zertifikat manuell "immer vertrauen" zuweisen? Da beisst jetzt mein Wissen aus.
Vielen Dank für eure Hilfe!
Ijon Tichy
Clairgeau
- Registriert
- 21.11.06
- Beiträge
- 3.693
Sieht aus, als würde das Zertifikat des Ausstellers fehlen oder ihm vielleicht nicht vertraut werden. Kannst du die Zertifkatskette auf dem Mac sehen? Da müsste er dann was anmeckern.
Da ist gar keine Kette vorhanden. Das Zertifikat steht allein für sich.
Und das, obwohl die drei Aussteller-StartCom-Zertifikate ganz ordentlich in System-Roots liegen.
Was nun? Wie krieg ich die Kette hin?
Und das, obwohl die drei Aussteller-StartCom-Zertifikate ganz ordentlich in System-Roots liegen.
Was nun? Wie krieg ich die Kette hin?
Ijon Tichy
Clairgeau
- Registriert
- 21.11.06
- Beiträge
- 3.693
Und es wird auch kein Problem mit dem Ausstellerzertifikat angezeigt? Nicht vertrauenswürdig oder abgelaufen?
Was steht hierzu, wenn du das Zertifikat einer verschlüsselten Mail vom iOS anzeigst?
Was steht hierzu, wenn du das Zertifikat einer verschlüsselten Mail vom iOS anzeigst?
Da steht entweder "Dieses Zertifikat wurde von einer unbekannten Instant signiert." oder (solange ich das eingestellt habe) "Dieses Zertifikat ist für diesen Account als vertrauenswürdig markiert."
Ich glaube inzwischen den Grund herausgefunden zu haben:
Mein Zertifikat ist von „StartCom Class 2 Primary Intermediate Client CA“ ausgestellt - und dieses Zertifikat ist jedenfalls nicht in meinem Schlüsselbund am Mac OSX vorhanden. Damit findet es dann vermutlich auch nicht das vorhandene vertrauenswürdige "StartCom Certification Authority" im system roots.
In iOS ist die Kette sichtbar vorhanden, daher ist dort wohl auch alles ok und das Zertifikat ohne Eingriff vertrauenswürdig.
Ich frage mich nun nur:
Wieso ist es im iOS drin? root ist klar, aber das Zwischenglied? Kam es mit der Übertragung des Zertifikates selbst vom Schlüsselbund des Mac aus? Wieso aber ist es dann nicht in diesem im Schlüsselbund? Oder beinhaltet iOS einfach mehr vorhandene CA-Zertifikate?
Ich glaube inzwischen den Grund herausgefunden zu haben:
Mein Zertifikat ist von „StartCom Class 2 Primary Intermediate Client CA“ ausgestellt - und dieses Zertifikat ist jedenfalls nicht in meinem Schlüsselbund am Mac OSX vorhanden. Damit findet es dann vermutlich auch nicht das vorhandene vertrauenswürdige "StartCom Certification Authority" im system roots.
In iOS ist die Kette sichtbar vorhanden, daher ist dort wohl auch alles ok und das Zertifikat ohne Eingriff vertrauenswürdig.
Ich frage mich nun nur:
Wieso ist es im iOS drin? root ist klar, aber das Zwischenglied? Kam es mit der Übertragung des Zertifikates selbst vom Schlüsselbund des Mac aus? Wieso aber ist es dann nicht in diesem im Schlüsselbund? Oder beinhaltet iOS einfach mehr vorhandene CA-Zertifikate?
Die Lösung für StartSSL-Zertifikate:
Ein passendes "Intermediate Client CA"-Zertifikat hat gefehlt.
Dieses muss man extra herunterladen und installieren.
Wenn das im Schlüsselbund ist, ist alles ok und die Kette ist dann auch zu sehen.
Leider muss es unter OSX wohl manuell geladen und installiert werden.
Beim Export des Mail-Zertifikates ist es nicht dabei (eigentlich logisch).
Aber das heisst nun auch: Meine OSX-Empfänger bekommen das Signier-Zertifikat auch als "unbekannt" angezeigt. Und dann ist die Frage: Wie können sie sich das Intermediate-Zertifikat dazu holen? (und natürlich auch: werden sie es überhaupt tun?).
Edit: Auch das ist geklärt, das war nur so, weil das Zertifikat bei mir gefehlt hat. Jetzt, wo es da ist, wird in der Mail korrekt auch dieses weitergegeben.
Warum es gefehlt hat, kann ich nicht nachvollziehen, bei anderen S/MIME-Zertifikaten ging alles glatt.
Ein passendes "Intermediate Client CA"-Zertifikat hat gefehlt.
Dieses muss man extra herunterladen und installieren.
Wenn das im Schlüsselbund ist, ist alles ok und die Kette ist dann auch zu sehen.
Leider muss es unter OSX wohl manuell geladen und installiert werden.
Beim Export des Mail-Zertifikates ist es nicht dabei (eigentlich logisch).
Aber das heisst nun auch: Meine OSX-Empfänger bekommen das Signier-Zertifikat auch als "unbekannt" angezeigt. Und dann ist die Frage: Wie können sie sich das Intermediate-Zertifikat dazu holen? (und natürlich auch: werden sie es überhaupt tun?).
Edit: Auch das ist geklärt, das war nur so, weil das Zertifikat bei mir gefehlt hat. Jetzt, wo es da ist, wird in der Mail korrekt auch dieses weitergegeben.
Warum es gefehlt hat, kann ich nicht nachvollziehen, bei anderen S/MIME-Zertifikaten ging alles glatt.
Zuletzt bearbeitet:
Habe alles so gemacht, wie im Artikel beschrieben, kann aber leider das Zertifikat nicht als .p12 exportieren, weil die Leiste ausgebaut ist. Wie bringe ich das Zertifikat dennoch auf iPhone bzw. iPad?
Zuletzt bearbeitet:
So, nach Ablauf meines Zertifikates, habe ich das neue dann mal angelegt und mit der Anleitung in #1 erfolgreich installiert.
NICHT VERGESSEN:
Das alte Zertifikat NICHT Löschen, sonst kann man die alten Mails nicht mehr lesen!!! Das bleibt einfach in der Liste drin!
NICHT VERGESSEN:
Das alte Zertifikat NICHT Löschen, sonst kann man die alten Mails nicht mehr lesen!!! Das bleibt einfach in der Liste drin!
quiddjes
Danziger Kant
- Registriert
- 08.10.09
- Beiträge
- 3.903
So sammelt man also über die Jahre zig Zertifikate an (ich habe vier Mailadressen).
Wenn man wenigstens alte Mails von einem alten auf ein neues Zertifikat portieren könnte... die Verschlüsselung kriegt man ja nichtmal weg, wenn man die Mail vom Server nimmt und lokal speichert. Und Mails im Browser lesen geht schon gleich gar nicht mehr.
Alles in Allem gibt es derzeit keine Datei, die so wichtig ist, dass meine Existenz davon abhängt. Das würde sich bei verschlüsselten Mails schlagartig ändern.
Zumal - wie ich schon schrieb - ich mich an niemanden meiner vielen Mailkorrespondenzpartner erinnern kann, der Verschlüsselung einsetzt und die ganze GPG-Verschlüsselungsorgie (das war es damals noch) für Noppes gemacht habe...
An sich also eine gute Idee, Mails zu verschlüsseln, aber von Alltagstauglichkeit weit entfernt.
Wenn man wenigstens alte Mails von einem alten auf ein neues Zertifikat portieren könnte... die Verschlüsselung kriegt man ja nichtmal weg, wenn man die Mail vom Server nimmt und lokal speichert. Und Mails im Browser lesen geht schon gleich gar nicht mehr.
Alles in Allem gibt es derzeit keine Datei, die so wichtig ist, dass meine Existenz davon abhängt. Das würde sich bei verschlüsselten Mails schlagartig ändern.
Zumal - wie ich schon schrieb - ich mich an niemanden meiner vielen Mailkorrespondenzpartner erinnern kann, der Verschlüsselung einsetzt und die ganze GPG-Verschlüsselungsorgie (das war es damals noch) für Noppes gemacht habe...
An sich also eine gute Idee, Mails zu verschlüsseln, aber von Alltagstauglichkeit weit entfernt.
2003-2024 Apfeltalk | Made on a Mac