Voraussetzungen¶
Ein Zertifikat und ein privater Schlüssel für Ihre eigene Organisation
(Verwenden Sie dies, um ✒️ Ausgehende Nachrichten zu signieren und 🔓 Eingehende Nachrichten zu entschlüsseln.)
Zertifikate, die Ihren Kontakten gehören, oder deren ausstellender Zertifizierungsstelle (CA)
(Verwenden Sie diese, um ✅ die Signaturen eingehender Nachrichten zu überprüfen und 🔒 ausgehende Nachrichten zu verschlüsseln.)
Bemerkung
🙋 Ich bin neu in S/MIME. Woher bekomme ich ein Zertifikat?
Der einfachste Weg, Zertifikate zu erhalten, ist der Kauf eines Jahresabonnements über eine kommerzielle Zertifizierungsstelle, wie z.B.:
(Zammad ist in keiner Weise mit diesen Zertifizierungsstellen verbunden.)
Sie können auch Ihre eigenen selbstsignierten Zertifikate erstellen, aber das Verfahren ist kompliziert und bedeutet in der Regel 🙅 mehr Arbeit für Ihre Kontakte.
Denken Sie daran, dass 🤝 S/MIME nur funktioniert, wenn die andere Partei es auch benutzt.
Überprüfung von Zertifikat und privatem Schlüssel beim Hochladen¶
Die Validierung von Zertifikaten und öffentlichen Schlüsseln basiert auf den X509v3
-Erweiterungen.
- Hochladen eines Kundenzertifikats?
- Die folgenden Attribute sind dann erforderlich:
Subject Alternative Name (mindestens eine E-Mail-Adresse muss vorhanden sein)
Key Usage (
Digital Signature
und/oderKey Encipherment
)Algorithmus des öffentlichen Schlüssels (entweder
RSA
oderEC
)
Das Attribut „Extended Key Usage“ ist optional. Wenn das Zertifikat das genannte Attribut enthält, dann muss es den Wert
E-mail Protection
enthalten.Bitte beachten Sie, dass jeder verwendbaren Email-Adresse der Zusatz
email:
oderrfc822:
vorangestellt werden muss.Die genannten Algorithmen für öffentliche Schlüssel sind auch für private Schlüssel vorgeschrieben.
- Hochladen eines CA-Zertifikats?
Im Falle eines hochgeladenen CA-Zertifikats, das im Attribut Basic Contstraints den Wert
CA:TRUE
aufweist, werden die zuvor genannten Attribute nicht überprüft.
Im Allgemeinen wird die Verwendung eines abgelaufenen (Not After
) oder noch nicht gültigen (Not Before
) Zertifikats für ausgehende E-Mails verweigert.
...
Validity
Not Before: Aug 1 14:20:28 2023 GMT
Not After : Jul 31 14:20:28 2024 GMT
...
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Key Identifier:
74:17:9D:7D:87:C4:1B:C9:7D:04:DD:37:63:C8:22:69:CA:55:FF:46
X509v3 Authority Key Identifier:
C2:A7:00:D8:F0:24:BF:E5:6F:57:CF:AB:4A:66:F8:61:78:FF:EF:28
X509v3 Subject Alternative Name:
email:alice@acme.corp
X509v3 Extended Key Usage:
E-mail Protection
...
Einschränkungen¶
Bitte beachten Sie, dass Zammad Absendern standardmäßig misstraut. Das bedeutet, dass Sie immer Zertifikatsdaten angeben müssen, egal ob zum Signieren oder Verschlüsseln.
Das ist so gewollt und kann nicht geändert werden.