Voraussetzungen

  • Ein Zertifikat und ein privater Schlüssel für Ihre eigene Organisation

    (Verwenden Sie dies, um ✒️ Ausgehende Nachrichten zu signieren und 🔓 Eingehende Nachrichten zu entschlüsseln.)

  • Zertifikate, die Ihren Kontakten gehören, oder deren ausstellender Zertifizierungsstelle (CA)

    (Verwenden Sie diese, um ✅ die Signaturen eingehender Nachrichten zu überprüfen und 🔒 ausgehende Nachrichten zu verschlüsseln.)

Bemerkung

🙋 Ich bin neu in S/MIME. Woher bekomme ich ein Zertifikat?

Der einfachste Weg, Zertifikate zu erhalten, ist der Kauf eines Jahresabonnements über eine kommerzielle Zertifizierungsstelle, wie z.B.:

(Zammad ist in keiner Weise mit diesen Zertifizierungsstellen verbunden.)

Sie können auch Ihre eigenen selbstsignierten Zertifikate erstellen, aber das Verfahren ist kompliziert und bedeutet in der Regel 🙅 mehr Arbeit für Ihre Kontakte.

Denken Sie daran, dass 🤝 S/MIME nur funktioniert, wenn die andere Partei es auch benutzt.

Überprüfung von Zertifikat und privatem Schlüssel beim Hochladen

Die Validierung von Zertifikaten und öffentlichen Schlüsseln basiert auf den X509v3-Erweiterungen.

Hochladen eines Kundenzertifikats?
Die folgenden Attribute sind dann erforderlich:

  • Subject Alternative Name (mindestens eine E-Mail-Adresse muss vorhanden sein)

  • Key Usage (Digital Signature und/oder Key Encipherment)

  • Algorithmus des öffentlichen Schlüssels (entweder RSA oder EC)

Das Attribut „Extended Key Usage“ ist optional. Wenn das Zertifikat das genannte Attribut enthält, dann muss es den Wert E-mail Protection enthalten.

Bitte beachten Sie, dass jeder verwendbaren Email-Adresse der Zusatz email: oder rfc822: vorangestellt werden muss.

Die genannten Algorithmen für öffentliche Schlüssel sind auch für private Schlüssel vorgeschrieben.

Hochladen eines CA-Zertifikats?

Im Falle eines hochgeladenen CA-Zertifikats, das im Attribut Basic Contstraints den Wert CA:TRUE aufweist, werden die zuvor genannten Attribute nicht überprüft.

Im Allgemeinen wird die Verwendung eines abgelaufenen (Not After) oder noch nicht gültigen (Not Before) Zertifikats für ausgehende E-Mails verweigert.

Beispiel für ein Zertifikat:
   ...
         Validity
               Not Before: Aug  1 14:20:28 2023 GMT
               Not After : Jul 31 14:20:28 2024 GMT
   ...
         X509v3 extensions:
               X509v3 Basic Constraints:
                  CA:FALSE
               X509v3 Key Usage:
                  Digital Signature, Non Repudiation, Key Encipherment
               X509v3 Subject Key Identifier:
                  74:17:9D:7D:87:C4:1B:C9:7D:04:DD:37:63:C8:22:69:CA:55:FF:46
               X509v3 Authority Key Identifier:
                  C2:A7:00:D8:F0:24:BF:E5:6F:57:CF:AB:4A:66:F8:61:78:FF:EF:28
               X509v3 Subject Alternative Name:
                  email:alice@acme.corp
               X509v3 Extended Key Usage:
                  E-mail Protection
   ...

Einschränkungen

Bitte beachten Sie, dass Zammad Absendern standardmäßig misstraut. Das bedeutet, dass Sie immer Zertifikatsdaten angeben müssen, egal ob zum Signieren oder Verschlüsseln.

Das ist so gewollt und kann nicht geändert werden.