Humboldt-Universität zu Berlin - Computer- und Medienservice

Thunderbird

Hinweis:
Verwenden Sie bitte immer eine aktuelle Version von Thunderbird.
Ihr E-Mailkonto muss mit der gleichen Emailadresse eingerichtet sein, die Sie bei der Beantragung Ihrer HU-CA-Smartcard angegeben haben.



1. Kurzbeschreibung

Nach Beendigung dieser Konfiguration ist es Ihnen möglich E-Mails zu signieren und verschlüsseln, sowie für Sie verschlüsselte E-Mails zu lesen.
 

2. Vorraussetzung

  • Sie haben Ihre persönliche HU-CA-Smartcard
  • Sie haben Ihren PIN-Brief
  • Sie haben einen Reader (Kartenlesegerät) angeschlossen
  • Sie haben die Kartensoftware (CardOS-API) installiert
  • Sie haben Ihren E-Mailclient (Thunderbird) entsprechend konfiguriert

2.1 HU-CA-Smartcard

Ihre HU-CA-Smartcard holen Sie in der, bei der Beantragung, gewählten Ausgabestelle.
 

2.2 PIN-Brief

Ihren PIN-Brief bekommen Sie bei Abholung ihrer HU-CA-Smartcard.
 

2.3. Reader anschliessen

Falls ihr System nicht schon einen Reader hat, z.B. im Laptop, oder in der Tastaur, müssen Sie einen externen Reader anschliessen.
Beachten Sie bitte, dass für die Installation von Gerätetreibern u.U. Hauptbenutzer- oder Administratorrechte notwendig sind.
Verwenden Sie die in den Cherry Tastaturen vorhandenen Smartcard Reader CardMan 2020 der Firma Omnikey AG.
Alternativ können Sie den CardMan 3121 USB verwenden.
Für Notebookbenutzer gibt es den PCMCIA Smartcard Reader CardMan 4000 / 4040.
Falls Ihr System den notwendigen Treiber nicht selbstständig bereitstellt, finden Sie hier die aktuellen Version (Treiber).
 

2.4 Kartensoftware installieren

Hier finden Sie Beschreibungen für die Installation der Kartensoftware auf Windows2000/XP, oder für Windows Vista/Windows 7.
 

2.5 Thunderbird konfigurieren

2.5.1 Kryptographie-Module laden

Starten Sie Thunderbird. Navigieren Sie über:
Extras - Einstellungen - Erweiter- Zertifikat- Kryptographie-Module - laden.
Vergeben Sie einen Modulnamen (z.B. Siemens) und wählen mit Durchsuchen unter:
C:\WINDOWS\system32\siecap11.dll

install-pkcs11_111
Abbildung: Installation Sicherheitsmodul

Dies fügt das entsprechende Sicherheitsmodul nach Ihrer Bestätigung hinzu.

PKI-Services
Abbildung: bestätigen Installation Sicherheitsmodul

PKI-Services
Abbildung: Erfolgsmeldung Installation Sicherheitsmodul

install-pkcs11_11
Abbildung: Neues Sicherheitsmodul
 

2.5.2 E-Mailkonteneinstellung

Ihre HU-CA-Smartcard muss im Reader stecken.
Klicken Sie auf Extras - Konten - S/MIME-Sicherheit

Auf der rechten Auswahlseite können Sie jetzt Ihr Zertifikat wählen. Bei Zertifikaten auf Smartcard muss sich die Karte im Reader befinden. Eventuell werden Sie zur Eingabe Ihrer PIN aufgefordert.

thun-cert16.jpg
Abbildung: Sicherheitseinstellungen

Die nachfolgende Information bestätigen sie bitte mit OK, um Anderen damit zu ermöglichen, Ihnen verschlüsselte E-Mail zu schicken.

PKI-Services
Abbildung: Angabe Verschlüsselungszertifikat

Abschließend können Sie noch Standardeinstellungen festlegen, z.B. ob Ihr Mailclient jede ausgehende E-Mail standardmäßig signieren und/oder verschlüsseln soll.
 

Versenden und Empfangen signierter E-Mail


Wenn Sie Ihre Standardeinstellung nicht so eingestellt haben, jede E-Mail zu signieren, können Sie die Signaturfunktion beim Verfassen der E-Mail über den Button "Sicherheitseinstellungen" auswählen.

PKI-Services
Abbildung: E-Mail signieren

Nach klicken auf den Sendebutton werden Sie zur Eingabe Ihrer PIN (Masterpasswort) aufgefordert, sofern Sie nicht schon an Ihrer HU-CA-Smartcard angemeldet sind, und es wird unter Verwendung Ihres privaten Schlüssels eine Signatur erzeugt.

Ihre signierte E-Mail erhält daraufhin in der Kopfzeile bei Ihrem Empfänger einen Stift. Bei einem Klick darauf werden Informationen zur Signatur angezeigt. Zur Überprüfung kann man sich auch Detailinformationen anzeigen lassen, indem das Unterschriftszertifikat aufgerufen wird.

PKI-Services
Abbildung: Signaturinformationen
 

Versenden und Empfangen verschlüsselter E-Mail


Für das Versenden von verschlüsselten E-Mail benötigen Sie das Zertifikat Ihres Kommunikationspartners.

Überprüfen können Sie dies im Zertifikat-Manager zu finden unter:
Extras - Konten - S/MIME-Sicherheit - Zertifikate - Zertifikate anderer Personen.
Hier erhalten Sie Informationen über die bereits vorhandenen Zertifikate.

PKI-Services
Abbildung: Zertifikatspeicher

Sollte das entsprechende Zertifikat nicht vorhanden sein, benutzen Sie am besten den HU-LDAP (E-Mail-Adressbuch), um das Zertifikat in ihren Mailclient zu installieren. Abgelaufene Zertifikate anderer Personen sollten Sie unbedingt löschen (markieren und auf löschen klicken), da sonst die Verschlüsselung für diesen Empfänger fehl schlägt, auch wenn ein gültiges Zertifikat vorliegt.

Überprüfen Sie, ob der HU-LDAP eingerichtet ist, sollte dies nicht sein, gehen Sie wie folgt vor:

  • Das Adressbuch öffnen und darin
  • Datei -> Neu -> LDAP-Verzeichnis anklicken, ein Formular wird geöffnet, Karte "Allgemein" ausfüllen:
  • Name HU LDAP oder einen anderen Namen eintragen
  • Hostname ldap.hu-berlin.de angeben
  • Basis-DN o=Humboldt-Universitaet zu Berlin,c=de eingeben
  • Port Nummer 389
  • Bind-DN nicht ausfüllen
  • Verschlüsselte Verbindung ... nicht aktivieren
  • Mit OK die Konfiguration beenden.

Zum Verschlüsseln einer E-Mail klicken Sie in den Sicherheitseinstellungen zusätzlich auf "Diese Nachricht verschlüsseln".

thun-cert18.jpg
Abbildung: E-Mail verschlüsseln und signieren

Nach klicken auf den Sendenbutton werden Sie zur Eingabe Ihrer PIN (Masterpasswort) aufgefordert, sofern Sie nicht schon an Ihrer Smartcard angemeldet sind. Es wird unter Verwendung Ihres privaten Schlüssels eine Signatur erzeugt, und die E-Mail wird mit dem öffentlichem Schlüssel des Empfängers verschlüsselt.

Ihre signierte und verschlüsselte E-Mail erhält daraufhin in der Kopfzeile einen Stift und einen Schlüssel. Bei einem Klick darauf werden Informationen zur Signatur angezeigt sowie die Information, dass die Nachricht verschlüsselt wurde. Zur Überprüfung kann man sich auch Detailinformationen anzeigen lassen, indem das Unterschriftszertifikat aufgerufen wird.

Hinweis für ältere Versionen von Thunderbird (vor 2.0.0.6)

Sie benötigen noch unsere Wurzelzertifikate. Für die Installation der Wurzelzertifikate gehen Sie wie folgt vor:
 

  1. Alle Wurzelzertifikate finden Sie hier.
  2. Klicken Sie mit der rechten Maustaste auf die Links zu den Zertifikaten und wählen "Ziel speichern unter ...". Wählen Sie den Speicherort und vergeben Sie einen Namen.
  3. Navigieren Sie danach in Thunderbird über:
    Extras - Konten - S/MIME-Sicherheit - Zertifikate - Zertifizierungsstellen - Importieren
    Wählen Sie die Datei mit dem zu importierem Zertifikat aus und klicken Sie auf Öffnen.

Beim Importieren der Zertifikate, müssen Sie bei der folgenden Abfrage, der Zertifizierungsstelle (CA) mindestens in den Optionen Webseiten und E-Mail zu identifizieren, vertrauen. Setzen Sie die entsprechenden Hacken.

thun_cert_17.jpg
Abbildung: Abfrage CA Vertrauen

Verfahren Sie so mit allen Wurzelzertifikaten.