Erwerb eines kostenfreien Class1 S/MIME Zertifikats mit StartCom
TechBlog - Dies und Das
Zertifikat beantragen
Dieses Dokument beschreibt Erwerb und Einsatz eines kostenfreien Class1 S/MIME-Zertifikats von StartCom. Da StartCom das Login auf seine Webseiten nur über ein solches Zertifikat erlaubt, muss dieser Schritt immer durchgeführt werden.
Das mit dem hier beschriebenen Vorgang generierten Zertifikat kann bereits zur Signierung und vor allem zur Verschlüsselung von E-Mails genutzt werden. Legen Sie auch Wert auf eine persönliche Signierung, so optieren Sie später auf ein Klasse 2 Zertifikat oder auf ein WOT Klasse 1 Zertifikat.
Surfen Sie zu https://www.startssl.com/?lang=de
Wählen Sie das Control Panel.
Da Sie zu diesem Zeitpunkt noch kein Zertifikat besitzen, bitte Sign-up anwählen.
Wichtig: Das Dokument sehr gewissenhaft ausfüllen, an diesem Punkt sind Ihre persönlichen Daten gefragt, auch wenn Sie beabsichtigen Zertifikate zu erwerben mit denen später Ihre Organisation zertifiziert werden soll. Nach dem Absenden (Continue) gelangt man auf eine Warteseite. Diese Seite nicht verändern bis der Code per E-Mail eingetroffen ist.
Nach wenigen Minuten trifft eine Mail von der Zertifizierungsstelle ein. Sie enthält einen Code, der aus mehreren Buchstaben besteht. Diesen einfüllen und Weiter.
ACHTUNG: Der Ablauf an dieser Stelle kann variieren. In den meisten Fällen kann man mit dem nächsten Absatz fortfahren. Es gibt aber auch Fälle an denen StartCom an dieser Stelle den Vorgang unterbricht. Es erscheint dann ein kurz ein Schirm mit einem englischsprachigen Text, in dem darauf hingewiesen wird das ein zusätzlicher Schritt erforderlich ist. Der Antragsteller wird danach auf die Startseite zurückgeleitet. In den allermeisten Fällen erhält der Antragsteller kurz darauf eine Mail in der um eine Rufnummer gebeten wird (Please provide us with a valid phone number). Vermutlich versuchen sie an dieser Stelle eine zusätzliche Verifikation via Telefonbuch o.ä. In diesen Fällen einfach die Mail des Zertifizierungscenters wie gewünscht beantworten, man erhält danach eine weitere E-Mail mit einem Link und einem neuen Bestätigungscode. Der Link macht genau an der Stelle weiter, an der der Vorgang unterbrochen wurde.
Nun endlich kann ein Zertifikat erstellt werden. Dieser private Schlüssel wird lokal auf Ihrem Computer erzeugt. Dieser Schlüssel ist das eigentlich Wichtige an der gesamten Prozedur. Er darf niemals verloren gehen und vor allem nicht in die Hände dritter Personen fallen !
Zur Information: Die Ausgabestelle hat Ihren geheimen Schlüssel nicht, denn er wird lokal auf Ihrem Rechner erzeugt.
Sichern des Zertifikats
Durch den oben beschrieben Vorgang wurde in Ihrem Browser ein Zertifikat erstellt. Wenn dieses nun für E-Mail-Verifikation und -verschlüsselung eingesetzt werden soll, muss es zunächst exportiert werden. Siehe auch die Artikel über die Inbetriebnahme verschiedener Mail Clients.
Im Beispiel wird davon ausgegangen, dass Sie den ersten Schritt in Firefox durchgeführt haben.
In Firefox klicken auf: Extras >> Einstellungen
ganz oben rechts: "Erweitert" >> erster Reiter von rechts: "Verschlüsselung"
Knopf links: "Zertifikate anzeigen" (damit öffnen Sie den Zertifikat-Manager)
Markieren Sie Ihr Zertifikat durch Draufklicken.
Klicken Sie unten auf den Knopf "Sichern".
Wählen Sie einen Speicherort aus (erstellen Sie z.B. einen Ordner "SMIME" in "Eigene Dateien"), geben Sie einen Dateinamen an und drücken Sie auf "Speichern" (Dateityp: "PKCS12 Dateien"), geben Sie ein Passwort Ihrer Wahl ein (je komplexer desto besser).
(Beim Internet Explorer: Extras >> Internetoptionen >> Inhalte >> Zertifikate >> Eigene Zertifikate >> Exportieren, einschließlich priv. Schlüssel >> als PKCS# 12 (*.pfx), verstärkte Sicherheit.)
Weitere Artikel über S/MIME Zertifikate