Wenn Outlook den öffentlichen Schlüssel eines Zertifikates braucht… (und der Schlüsselbund nur PEM-Dateien hergibt)

Verschlüsselung ist ein heißes Thema. Auch (oder vor allem) von E-Mails.

Bisher hatte ich mich in Mac OS X mit Hilfe von Mail auf GnuPG eingeschossen. Allerdings hat niemand von meinen Freunden oder Bekannten das genutzt und umso erstaunter war ich, als ein Kollege aus dem DVMD e.V. den Vorstoß wagte und verschlüsselte Kommunikation für E-Mails vorschlug. Super! Dachte ich. Leider setzt er auf Zertifikate und ich kam in die Verlegenheit, mich mit Zertifikaten, Mail und .Mac zu beschäftigen.

Nach langer Recherche fand ich schließlich heraus, dass .Mac zwar ein Zertifikat mitliefert, es aber inzwischen nicht mehr zum Verschlüsseln von E-Mails genutzt werden kann.

Apple empfiehlt die Verwendung von Thawte als Zertifizierungsparnter. Da ich gerade das System des Web of Trust toll finde und es in Berlin genügend Notare gibt, habe ich mich für Thawte als Zertifizierungsstelle entschieden.

Falls man noch kein Zertifikat hat, gibt es im Apfelwiki eine wunderbare Anleitung dazu, wie man ein Zertifikat bei Thawte erstellt.

Nun aber zum eigentlichen Kern der Angelegenheit: der öffentliche Schlüssel des Thwate-Zertifikates wird von Outlook explizit benötigt

Eigentlich ist es keine große Sache, den öffentlichen Schlüssel aus dem Schlüsselbund von Mac OS X zu exportieren. Leider exportiert der Schlüsselbund nur in das Dateiformat .pem, das von Outlook nicht verstanden wird. Aber mit ein bischen Kommandozeile und exportieren von Zertifikatsdateien bekommt man aus der .pem-Datei eine .p7b-Datei, die dann auch Outlook versteht.

Als erstes muss das Thawte-Zertifikat als .pem-Datei exportiert werden. Dazu braucht man den Mac OS X Schlüsselbund und den Eintrag für das Zertifikat, das sich im Schlüsselbund “Anmeldung” in der Kategorie “Zertifikate” befinden sollte.

Thawte Zertifikat 

Mit Rechtsklick und dann einem Klick auf den Menüpunkt “Thawte Personal Freemailing Issuing CA exportieren …” öffnet sich der Exportdialog. Dort als Dateiformat “Privacy Enhanced Mail” auswählen und die Datei als thawte.pem abspeichern.

Thawte-Zertifikat exportieren

Als nächstes wird der private Schlüssel benötigt. Den privaten Schlüssel kann der Schlüsselbund leider nur als .p12-Datei exportieren, muss also dann im nächsten Schritt in eine .pem-Datei umgewandelt werden.

Auch der private Schlüssel sollte sich im Schlüsselbund “Anmeldung” unter dem Unterpunkt “Zertifikate” finden lassen.

Der private Schlüssel ist an der E-Mailadresse zu erkennen, die man für das Einrichten des Thawte-Zertifikates verwendet hat. Es muss nicht das ganze Zertifikat exportiert werden, sondern lediglich der Unterpunkt “Schlüssel von www.thawte.com”.

Privater Schlüssel

Wieder mit Rechtsklick und dem Menüpunkt “Schlüssel von www.thawte.com exportieren …” gelangt man in den Exportdialog, in dem das Dateiformat .p12 schon ausgewählt sein sollte. Als Dateinamen wird private.p12 vergeben. Bevor der eigentliche Export stattfindet, fragt der Schlüsselbund nach einem Exportpasswort, das frei vergeben werden kann und verhindert, dass jemand anderes den privaten Schlüssel einfach so wieder importieren kann. Das Passwort wird im nächsten Schritt unbedingt wieder benötigt! Im letzten Schritt wird noch das Passwort für die Anmeldung abgefragt und der Export ist geschehen.

Wie eingangs schon erwähnt, wird dieser Schlüssel eigentlich im Format .pem benötigt. Die Umwandlung geschieht mit openssl. Openssl ist ein Kommandozeilentool und in der Standardinstallation von Mac OS X bereits installiert.

Als erstes also das Terminal öffnen.

Anschließend in das Verzeichnis wechseln, in dem die Datei private.p12 liegt. Ich gehe einmal davon aus, dass dies der Schreibtisch des Benutzers ist: cd ~/Desktop.

Nun erfolgt die eigentliche Umwandlung: openssl pkcs12 -in private.p12 -nokeys -clcerts -out privat.pem

Openssl fragt noch nach dem Importpasswort: Enter Import Password. Dies ist das Passwort, das bereits für den Export vergeben wurde. Wenn das Passwort korrekt war, quittiert openssl dies mit einem MAC verified OK und generiert eine Datei privat.pem.

Vorletzter Schritt ist, den öffentlichen Schlüssel des eigenen Thawtezertifikates zu exportieren. Er befindet sich im Schlüsselbund “Anmeldung” im Unterpunkt “Schlüssel”. Sein Name sollte etwa “Schlüssel von www.thawte.com” heißen und kann wie in den vorherigen Schritten als .pem-Datei exportiert werden. Die Datei sollte public.pem genannt werden.

öffentlicher Schlüssel von Thawte

Für den letzten Schritt wird nocheinmal das Terminal benötigt. Die drei exportierten .pem-Dateien sollten sich im gleichen Verzeichnis befinden. Mit folgendem Befehl wird eine .p7b-Datei generiert, die Outlook problemlos importieren kann: openssl crl2pkcs7 -certfile privat.pem -certfile thawte.pem -certfile public.pem -nocrl -outform DER -out userpublic.p7b

Die Datei userpublic.p7b ist die neu generierte Datei und kann nun noch einen passenden Dateinamen erhalten, damit man die Datei immer wieder findet.

6. April 2008 Kommentar schreiben | abgelegt unter Internet, Software