1. Wie werden Zertifikate in Mozilla Anwendungen gespeichert?

Mozilla Firefox, Mozilla Thunderbird und die meisten anderen Anwendungen (z.B. Adobe Acrobat) haben jeweils ihren eigenen Zertifikatspeicher. Wird z.B. im Mozilla Firefox ein Zertifikat hinzugefügt, so ist es NICHT automatisch im Mozilla Thunderbird verfügbar. Ein Zertifikat muss also expliziet in jede Anwendung importiert werden. Ein Grund hierfür liegt darin, dass diese Anwendungen auf verschiedenen Betriebssystemen (Windows, Linux, Apple) verfügbar sind.

2. Wo sind die Zertifikate zu finden?

In Mozilla Anwendungen können die Zertifikate im sogenannten „Zertifikat-Manager“ angesehen werden. Diesen erreicht man je nach verwendetem System über:

  • Firefox: „Einstellungen“ - „Erweitert“ - „Verschlüsselung“ - „Zertifikate anzeigen“
  • Thunderbird: „Einstellungen“ - „Erweitert“ - „Zertifikate“ - „Zertifikate“

In beiden Fällen öffnet sich ein Fenster mit mehreren Karteireitern. Auf dem ersten Karteireiter („Ihre Zertifikate“ bzw. „Eigene Zertifikate“) werden die eigenen Zertifikate angezeigt. Wichtig: zu diesen Zertifikaten liegt auch der private Schlüssel lokal vor.

3. Wie bekomme ich mein Zertifikat in den Mozilla Thunderbird?

Nutzer von Mozilla Anwendungen erzeugen ihr persönliches Schlüsselpaar typischerweise im Mozilla Firefox. Das entsprechende Zertifikat steht nicht automatisch auch im Mozilla Thunderbird zur Verfügung. Um das eigene Zertifikat mit privaten Schlüssel im Mozilla Thunderbird zum Signieren und Entschlüsseln von Mails nutzen zu können, muss es dorthin kopiert werden. Dazu sind folgende Schritte auszuführen:

  • Exportieren Sie Ihr Zertifikat mit privatem Schlüssel.
  • Starten Sie Mozilla Thunderbird und öffnen dort den Zertifikat-Manager. Klicken Sie im Karteireiter „Ihre Zertifikate“ auf „Importieren“.
  • Wählen Sie die angelegte Datei aus und geben Sie das „Zertifikats-Backup-Passwort“ an. Nun steht Ihr Zertifikat mit privatem Schlüssel) zur Verfügung und kann im Mozilla Thunderbird genutzt werden.

4. Wie kann ich ein beliebiges Zertifikat (ohne privaten Schlüssel) exportieren?

In Mozilla Anwendungen ist die Möglichkeit zum Zertifikatexport (ohne privaten Schlüssel) standardmäßig nur für fremde Zertifikate möglich. Will man ein eigenes Zertifikat ohne privaten Schlüssel exportieren, muss eine Erweiterung (Add-on) mit dem Namen „Cert Viewer Plus“ installiert werden.

Nach der Installation öffnen Sie zunächst das Fenster mit den Zertifikaten und markieren das Zertifikat, das Sie exportieren möchten. Wenn Sie auf das gewünschte Zertifikat doppelklicken, öffnet sich die „Zertifikat-Ansicht“ mit zwei neuen Knöpfen zum Betrachten und zum Abspeichern eines Zertifikats.

5. Wie kann ich mein Zertifikat (mit meinem privaten Schlüssel) exportieren?

Zu Ihren eigenen Zertifikaten besitzen Sie typischerweise auch das zugehörige Schlüsselpaar und dabei insbesondere den (unbedingt geheim zu haltenden) privaten Schlüssel, auf dessen Basis Sie sich z.B. im Internet ausweisen können. In einigen Fällen kann es erforderlich sein, ein eigenes Zertifikat mit eigenem privaten Schlüssel zu exportieren, z.B. um dieses in einer anderen Anwendung zu nutzen oder um eine Sicherheitskopie zu erzeugen.

Öffnen Sie zunächst das Fenster mit den Zertifikaten und markieren Sie unter dem Karteireiter „Ihre Zertifikate“ das Zertifikat, das Sie exportieren möchten, drücken Sie dann den Knopf „Sichern“. Um das Zertifikat als Datei auf Ihrem Computer zu speichern, geben Sie einen Dateinamen an. Abschließend erhalten Sie die Meldung, dass die Datei erzeugt wurde („Ihre Sicherheitszertifikate und privaten Schlüssel wurden erfolgreich gesichert.“). Weitere Informationen finden Sie im DFN-PKI Blog.

Wichtig: Sie müssen die Datei mit einem „Zertifikats-Backup-Passwort“ versehen, da diese Datei auch Ihren (unbedingt geheim zu haltenden) privaten Schlüssel enthält.

6. Warum klappt der Zugriff auf die RA-Webschnittstelle nicht mehr, nachdem zusätzlich zum TS-Operatorzertifikat ein weiteres Zertifikat importiert wurde?

In der Standardeinstellung der Mozilla Browser wird bei Authentisierungsanforderungen des Webservers automatisch das neueste passende Nutzerzertifikat, das in dem Browser installiert wurde, verwendet. Wenn dies nicht zu der ausgewählten Registierungsstelle passt, schlägt die Authentisierung fehl.

Man kann den Browser veranlassen, die Liste der möglichen Zertifikate zur Auswahl anzuzeigen. Diese Option lässt sich z.B. im Firefox im Menü 'Extras' → 'Einstellungen' → 'Erweitert' → 'Verschlüsselung' einstellen. Im Kasten „Zertifikate“ ist unter dem Satz 'Wenn ein Webseite ein Sicherheitszertifikat verlangt:' die Option 'Jedes Mal fragen' auszuwählen.

Der Browser fragt dann vor jedem Zugriff auf die RA-Webschnittstelle, mit welchen Zertifikat er sich authentisieren soll. Es ist nun das entsprechende RA-Operatorzertifikat auszuwählen.

7. Warum zeigt der Firefox trotz erfolgter Integration des Wurzelzertifikats immer noch eine Fehlermeldung an?

Grund hierfür ist in der Regel, dass der Webserver bei dem Verbindungsaufbau nicht die komplette CA-Kette mit allen Zwischenzertifizierungstellen (das DFN-Verein PCA Global-G01 Zertifikat und das Zertifikat Ihrer ausgelagerten CA) ausliefert. Dadurch kann der Browser keine Verkettung zu dem vorinstallierten Wurzelzertifikat herstellen.

Damit der Webserver die CA-Kette ausliefert, kann für den Apache Webserver z.B. die Konfigurationsdirektive "SSLCertificateChainFile" verwendet werden. Als Parameter muss eine Datei mit allen CA-Zertifikaten angegeben werden, wie sie auf den Antragsseiten Ihrer ausgelagerten CA (unter CA-Zertifikate → Zertifikatkette anzeigen) zu finden ist.

Für den Internet Information Server muss die Zertifikatkette in den Zertifikatspeicher „Zwischenzertifizierungsstellen“ importiert werden.

8. Warum fragt meine Mozilla Anwendung nach einem "Master-Passwort"?

Mozilla Anwendungen schützen die gespeicherten geheimen Schlüssel und Username/Passwort-Kombinationen für Webseiten mit einem „Master-Passwort“. Dieses kann - und sollte aus Sicherheitsgründen - unter „Einstellungen - Sicherheit“ gesetzt und geändert werden. Weitere Informationen für das Vorgehen für Firefox finden Sie bei Mozilla.

Aber Vorsicht: Wenn man ein gesetztes Master-Passwort vergessen hat, kann man den Passwort-Speicher nur komplett zurücksetzen. Das bedeutet, dass alle gespeicherten geheimen Schlüssel der eigenen Zertifikate verloren gehen, ebenso wie die dort gespeicherten Username/Passwort-Kombinationen. Informationen zum Zurücksetzen des Master-Passworts in Firefox finden Sie ebenfalls bei Mozilla.

Anleitungen für Thunderbird und Seamonkey finden Sie in der Knowledgebase des mozillaZine (englisch).

9. Warum kann eine von Outlook 2010 verschlüsselte Mail in Thunderbird oder Lotus Notes nicht entschlüsselt werden?

Die neue Version von Outlook verschlüsselt Mails standardmäßig mit einer Methode, die in verschiedener Mail-Software nicht implementiert ist. Betroffen sind z.B. Thunderbird vor Version 3.1.3 und Lotus Notes.

Durch eine Änderung in der Registry kann Outlook veranlasst werden, wieder die alte kompatible Methode zu verwenden: support.microsoft.com/kb/2142236

  • Zuletzt geändert: vor 19 Monaten