[RBG-Logo]
RechnerBetriebsGruppe
   
 
Achtung:    Die Informationen auf dieser Seite sind weitestgehend obsolet. Aktuelle Informationen finden sie hier.

[an error occurred while processing this directive]
[Windows] [Netscape 4.x] [Mozilla] [Opera] [Mutt 1.5] [Pine] [OpenSSL]

Hinweise zur Konfiguration von Client-Software

Ausführliche Anleitungen zur Konfiguration von X.509-Zertifikaten gibt es für folgende Anwendungen: Weitere Hinweise zur Konfiguration von Client-Software finden Sie auf den Seiten der RBG-Benutzer-CA.

MicroSoft Windows 98/2000/NT/XP/...

MicroSoft Windows erkennt den Dateitypen PFX. Nach dem Download der PFX Datei aus der Halle (am Besten per
SSH) kann man durch Doppel-Click im Explorer die Daten importieren. Es wird empfohlen den geheimen Schlüssel (Private Key) als exportierbar zu markieren. Ferner wird angeraten die hohen Sicherheitseinstellungen zu verwenden.

Über folgende Menüpunkte gelangt man zur Windows Zertifikatsverwaltung:

  1. Start -> Einstellungen -> Systemsteuerung
  2. Internetoptionen
  3. Inhalt -> Zertifikate...

Netscape 4

Folgende Schritt für Schritt Anleitungen sind für Netscape 4 vorhanden:
  1. Zertifikat importieren
  2. Einstellungen der CA-Zertifikate
Die Sicherheitseinstellungen werden im Netscape über das "Security"-Icon erreicht.

Um die PKCS-12-Datei zu importieren, den Menüpunkt "Certificates - Yours" anwählen dann auf "Import a Certificate..." clicken und anschließend den Anweisungen folgen.

Anschliessend sollte man sich über die Einstellungen der CA-Zertifikate vergewissern:

Den Menüpunkt "Certificates - Signers" anwählen und dort mit "Edit" die Einstellungen für folgende CAs prüfen:

Accept this Certificate Authority for...: RBG-CA RBG-Benutzer-CA RBG-Server-CA
Certifying network sites JaNeinJa
Certifying e-mail users sites JaJaNein
Certifying software developers JaNeinNein

Falls Netscape die genannten CAs nicht kennt, so sollte man sich die CA-Zertifikate von http://ca.in.tum.de holen.

Sollte beim setzen des Passwords für die Communicator Certificate DB Netscape in einer Endlosschleife hängen, sollte man sein $HOME/.netscape-Verzeichnis umbenennen bzw. löschen und Netscape anschließend neu starten.

Bei Verlust des Passwords für die Communicator Certificate DB, muß die Zertifikats-Datenbank key3.db im $HOME/.netscape gelöscht werden damit sie ein neues Passwort setzen können. Vergessen sie nicht Netscape zu beenden bevor Sie die Datei löschen!


Mozilla, Netscape 6/7 und andere Derivate

Folgende Schritt für Schritt Anleitungen sind für Mozilla 1.x und Netscape 6.x vorhanden:
  1. Zertifikat importieren
  2. Einstellungen der CA-Zertifikate
oder die Kurzfassung:
  1. Edit -> Preferences...
  2. Privacy & Security -> Certificates -> Manage Certificates...
  3. Import (bzw. Restore)
  4. die Anweisungen befolgen.
Auch hier ist zu beachten dass die RBG-CA-Zertifikate mit den entsprechenden Rechten versehen sind.

Opera

Bis zur Version 9.26 sollte der Import des Zertifikats ohne besondere Maßnahme funktionieren.

Ab Version 9.5 helfen möglicherweise die folgenden Konvertierungen:


 openssl pkcs12 -clcerts -nokeys -in `whoami`.p12 -out `whoami`_cert.pem
 openssl pkcs12 -nocerts -in `whoami`.p12 -out `whoami`_key.pem

 openssl pkcs12 -export -descert -inkey `whoami`_key.pem -in `whoami`_cert.pem -out `whoami`_new.p12
    

Opera sollte nun in der Lage sein das neu erzeugte Zertifikat `whoami`_new.p12 zu importieren.

Ein weiterer Ansatz ist es das Zertifikat in den Firefox zu importieren nur um es gleich wieder zu exportieren. Dieses frisch von Firefox exportierte Zertifikat läßt sich bei manchen Opera Versionen importieren.


Mutt 1.5

Ab Version 1.5 bietet Mutt S/MIME Unterstützung. Mutt 1.5 ist in der Halle installiert und wird durch
mutt-dev
    
Aufgerufen.

Es wird empfohlen die Umgebungsvariable MUTT_VERSION auf dev bzw. 1.5 zu setzen.

Mit folgenden Shell Anweisungen bereitet man Mutt auf dem Einsatz mit S/MIME vor:

  1. Zunächst sollte man sich eine Datei $HOME/.mutt-smime.rc anlegen, das geht am einfachsten mit:
    cp /usr/local/common/DIR/mutt/dot_mutt-smime.rc $HOME/.mutt-smime.rc
    	
  2. Dann muss man $HOME/.muttrc um folgende Zeile ergänzen:
    source  $HOME/.mutt-smime.rc
    	
  3. Mit folgenden Anweisungen initializiert man Mutts $HOME/.smime Verzeichnis
    smime_keys init
            
Nun ist Mutt für den S/MIME-Einsatz bereit!

Folgenden Anweisungen dienen zur Konfiguration des persönlichen Zertifikats:

  1. Importieren der PKCS-12-Daten:
    smime_keys add_p12 file.p12
    	
  2. Zuletzt muss man Mutt den Signaturschlüssel angeben. Hierzu ist folgende Zeile in der $HOME/.mutt-smime.rc zu ändern:
    set smime_default_key="keyID"
    	
    Die keyID erhalt mit durch folgenden Befehl:
    smime_keys list | grep login@in.tum.de
    	
    Sollten mehrere Einträge erscheinen, so ist der neuste Key der mit der höchste Generationsnummer in der Key-ID (die Zahl nach dem Punkt).

Eventuell die Absenderadresse auf Mailalias2 umstellen.


Pine

Angeblich unterstützen neuere Pine Versionen S/MIME.

Falls jemand eine Anleitung erstellt, wird sie gerne Hier eingehängt.


OpenSSL

Umgang mit PKCS-12-Dateien (.pfx, .p12)

Geheimen Schlüssel anzeigen bzw. speichern:
openssl pkcs12 -nocerts -in file.pfx [-out privkey.pem]
    
Diesen Befehl verwenden um zu testen, ob die Passphrase zum Zertifikat passt.
In einer Shell auf einem der Hallen-Rechner:
openssl pkcs12 -nokeys -clcerts -in $HOME/../home_sec/import/`/usr/ucb/whoami`.pfx
Enter Import Password: Hier die Passphrase von dem Zettel eingeben.
      
Wenn die Eingabe korrekt war, kommt eine lange Ausgabe, die mit MAC verified OK beginnt.
Wenn Sie sich nicht vertippt haben, aber der Befehl nicht funktioniert, dann müssen Sie sich ein neues Zertifikat holen.
Teilnehmer Zertifikate anzeigen:
openssl pkcs12 -nokeys -clcerts -in file.pfx [-out cert.pem]
      
CA Zertifikate anzeigen:
openssl pkcs12 -nokeys -cacerts -in file.pfx [-out cacerts.txt]
    
Neue PKCS-12 Datei erstellen:
openssl pkcs12 -export -out new.pfx -in cert.pem -inkey privkey.pem -certfile cacerts.txt
    
© copyright RBG - TUM Fakultät für Informatik Impressum - Feedback