Al jaren zoekt men naar een gebruiksvriendelijke versleutelde manier van e-mailen. Allerlei varianten zijn inmiddels voorbij gekomen, maar geen daarvan is door de internet gebruikers omarmt als de ultieme oplossing.
De meest gebruiksvriendelijke oplossing ligt al jaren vlak onder onze neus te wachten tot iemand het oppakt.
Het trefwoord hier is Certificatengebruik net als al die grote bedrijven dat doen, waarbij alle handelingen onzichtbaar op de achtergrond plaatsvinden.
Toepassing
Het gaat hier niet over webmail, maar specifiek over twee bekende e-mail cliënten, Microsoft Outlook en de gratis Thunderbird. Deze handleiding betreft alleen Thunderbird.
Aanbeveling
Maak eerst in documenten een map aan met de naam Certificaten. Als die map reeds bestaat open deze en maak een submap aan en noem die XCA Database. Maak in de map Certificaten nog een submap aan met de naam Vertrouwenscertificaten, en maak als laatste in de map Certificaten een submap aan met de naam Private Publieke certificaten.
Methode
Om gebruik te maken van certificaten die kunnen ondertekenen en versleutelen in Thunderbird moet de gebruiker eerst een zogenaamde zelf ondertekend rootcertificaat in het certificatenbeheer van Thunderbird importeren.
Vervolgens moet de gebruiker zijn eigen private-publieke certificaat (sleutel) ook in het certificatenbeheer van Thunderbird importeren. Alleen hier moet de gebruiker het wachtwoord van deze sleutel invoeren.
Software XCA
Op de website van Heise.de staat een programma met de naam XCA 1.3.2. Dit is een grafische Windows schil om OpenSSL certificaten te kunnen maken.
Download dat programma alleen van deze website, en niet van Sourgeforge, wan die voegt addware daaraan toe. Kies voor de optie waar een symbool staat met de tekst VIRENGEPRUFT.
Open het programma en maak een nieuwe database aan, hierbij moet je de database een wachtwoord geven. Verander de map waar de database moet komen in de map Certificaten/XCA Database.
Het maken van een root certificaat en daaraan gekoppelde HTTPS client certificaten is een eenvoudige procedure. Het komt erop neer, dat je zelf alleen maar namen voor het certificaten moet intypen waaronder het e-mail adres waarvoor het certificaat bedoelt is.
Certificaat maken
A. Het maken van een Root certificaat.
1. klik op het tabblad [Certificaten] en klik daarna rechts in op [New Certificate].
2. Selecteer het tabblad [Source]
3. Signing -> 'Create a self signed certificate with the serial 1'
4. Signature algorithm -> 'SHA 1' ( Oudere systemen hebben moeite met 'SHA 256' )
5. Template -> '[default] CA'. Klik op [ Apply all ] (Vergeet dit niet)
6. Selecteer tabblad [Subject] Vul hier in elk geval [Internal name] en [CommonName] en [EmailAdress] in.
Kies bij [Internal name] iets wat duidelijk maakt van wie dit certificaat is bijv: Henk Boer Root CA.
7.Private Key -> Klik op [Generate a new key]
8. Selecteer tabblad [Extensions]
9. Kijk hoe lang de (Time Range) is 10 jaar is okay, en klik op [Apply] Niet vergeten.
10. Selecteer tabblad [Key Usage] Certificate Sign' and 'CRL Sign' moeten oplichten.
11. Selecteer tabblad [Netscape] SSL CA, s/MIME CA, enObject Signing CA moeten oplichten
12. Klik onderaan op OK.
B. Het maken van een HTTPS Cliënt certificaat.
1. Selecteer met de muis het rootcertificaat om het cliënt certificaat daaraan te koppelen.
2. klik op het tabblad [Certificaten] en klik daarna rechts in op [New Certificate]
3. Selecteer het tabblad [Source]
4. Signing -> 'Use this certificate for signing: -> Root certifcate
5. Signature algorithm -> [SHA 1] omdat dit je client certificaat is, mag je deze ook in SHA 256 veranderen.
6. Template -> '[default] HTTPS_client'. klik op [ Apply all] Vergeet dit niet.
7. Selecteer tabblad [Subject] Vul hier in elk geval [Internal name] en [CommonName] in en in het emailAdress het mail adres waarvoor dit certificaat bedoelt is. Heel belangrijk want Thunderbird koppelt het vertrouwen aan dat email adres. Vandaar elk cliënt certificaat een eigen mail adres moet hebben.
8. Private Key -> klik op [Generate a new key]
9. Selecteer tabblad ['Extensions] en verander de Time range Default is 365 dagen. Maak de geldigheid periode niet langer of gelijk aan het Root certificaat, want die is enkele minuten hiervoor al gemaakt, en kan dus geen 10 jaar geldig zijn. Maak deze in elk geval een jaar korter. Vergeet niet op [Apply] te klikken.
10. Selecteer tabblad [Key Usage] Digital Signature', 'Key Encipherment' and 'Data Encipherment' moeten oplichten.
11. Selecteer tabblad [Netscape] SSL Client' and 'S/MIME moeten hier oplichten.
12. Klik onderaan op OK
13. Het client certificaat moet nu zichtbaar onder het root certificaat zijn.
C. Het exporteren van de certificaten.
1. Selecteer het root certificaat en klik rechts op [Export]
2. Het export format moet zijn PEM (*.crt)
3. Verander de map waar je deze wilt hebben naar Vertrouwenscertificaten en klik op OK
4. Selecteer het client certificaat, en klik rechts op [Export]
5. Verander de map waar je deze wilt hebben naar private-publieke.
5 Verander het (export Format) in PKCS (*.p12) en klik op OK
D. Het importeren van het root certificaat en het cliënt certificaat (private en publieke sleutel) in het certificatenbeheer van Thunderbird.
1. Open Thunderbird, en klik op Extra-> Opties->Geavanceerd->Certificaten beheren->Organisaties.
Klik hier op Importeren, en blader naar de map Vertrouwenscertificaten. Klik op het root cerificaat.
Vink het middelste vakje aan : [Deze CA vertrouwen voor het identificeren van e-mailgebruikers]
2. Klik nu op de sectie [Uw Certificaten klik op importeren. Selecteer de map Private Publieke certificaten en klik op het aanwezige certificaat. Thunderbird zal u nu vragen om het wachtwoord, en als die klopt wordt het certificaat opgenomen.
3. Ga nu naar Accountinstellingen en klik in het account op [Beveiliging] -> Digitaal ondertekenen -> Dit certificaat gebruiken om berichten die u verzendt digitaal te ondertekenen. Een en ander leid zichzelf.
Procedure uitwisseling certificaat
Wanneer persoon A nu versleutelde en ondertekende mails naar persoon B wil sturen moeten beide hun root certificaat met elkaar uitwisselen. Dit kan door deze als bijlage naar elkaar te mailen.
Dit root certificaat moet worden geimporteert , reeds uitgelegd waar, en vervolgens moet A een ondertekende mail naar B sturen, en wanneer B die opent zal Thunderbird automatisch de publieke sleutel van A detecteren, en deze in het certificaatbeheer in de sectie [Personen] van B importeren.
Uitvoering en uitkomst
Elke mail die is versleuteld zal niet meer gelezen kunnen worden in de browser webmail. In Google Gmail zal dan een hangslotje zichtbaar zijn. De ontvangen email in Thunderbird zal in dezelfde vorm waar het in is opgemaakt zichtbaar zijn. Er hoeft nooit een wachtwoord te worden ingevoerd.
De ontvanger zal in de menu balk van Thunderbird een envelop en hangslotje zien indien de mail versleuteld en ondertekend is.
Een mail verzonden naar iemand wiens publieke sleutel ontbreekt, zal door Thunderbird geweigerd worden.
Pas als de opties voor het versleutelen en ondertekenen uit gevinkt zijn kan de email gewoon worden verzonden.
Hier nog een paar websites met informatie
Blogspot hmcguir 2009
Carbonwind
mbse
Barracuda uitleg met plaatjes
De meest gebruiksvriendelijke oplossing ligt al jaren vlak onder onze neus te wachten tot iemand het oppakt.
Het trefwoord hier is Certificatengebruik net als al die grote bedrijven dat doen, waarbij alle handelingen onzichtbaar op de achtergrond plaatsvinden.
Toepassing
Het gaat hier niet over webmail, maar specifiek over twee bekende e-mail cliënten, Microsoft Outlook en de gratis Thunderbird. Deze handleiding betreft alleen Thunderbird.
Aanbeveling
Maak eerst in documenten een map aan met de naam Certificaten. Als die map reeds bestaat open deze en maak een submap aan en noem die XCA Database. Maak in de map Certificaten nog een submap aan met de naam Vertrouwenscertificaten, en maak als laatste in de map Certificaten een submap aan met de naam Private Publieke certificaten.
Methode
Om gebruik te maken van certificaten die kunnen ondertekenen en versleutelen in Thunderbird moet de gebruiker eerst een zogenaamde zelf ondertekend rootcertificaat in het certificatenbeheer van Thunderbird importeren.
Vervolgens moet de gebruiker zijn eigen private-publieke certificaat (sleutel) ook in het certificatenbeheer van Thunderbird importeren. Alleen hier moet de gebruiker het wachtwoord van deze sleutel invoeren.
Software XCA
Op de website van Heise.de staat een programma met de naam XCA 1.3.2. Dit is een grafische Windows schil om OpenSSL certificaten te kunnen maken.
Download dat programma alleen van deze website, en niet van Sourgeforge, wan die voegt addware daaraan toe. Kies voor de optie waar een symbool staat met de tekst VIRENGEPRUFT.
Open het programma en maak een nieuwe database aan, hierbij moet je de database een wachtwoord geven. Verander de map waar de database moet komen in de map Certificaten/XCA Database.
Het maken van een root certificaat en daaraan gekoppelde HTTPS client certificaten is een eenvoudige procedure. Het komt erop neer, dat je zelf alleen maar namen voor het certificaten moet intypen waaronder het e-mail adres waarvoor het certificaat bedoelt is.
Certificaat maken
A. Het maken van een Root certificaat.
1. klik op het tabblad [Certificaten] en klik daarna rechts in op [New Certificate].
2. Selecteer het tabblad [Source]
3. Signing -> 'Create a self signed certificate with the serial 1'
4. Signature algorithm -> 'SHA 1' ( Oudere systemen hebben moeite met 'SHA 256' )
5. Template -> '[default] CA'. Klik op [ Apply all ] (Vergeet dit niet)
6. Selecteer tabblad [Subject] Vul hier in elk geval [Internal name] en [CommonName] en [EmailAdress] in.
Kies bij [Internal name] iets wat duidelijk maakt van wie dit certificaat is bijv: Henk Boer Root CA.
7.Private Key -> Klik op [Generate a new key]
8. Selecteer tabblad [Extensions]
9. Kijk hoe lang de (Time Range) is 10 jaar is okay, en klik op [Apply] Niet vergeten.
10. Selecteer tabblad [Key Usage] Certificate Sign' and 'CRL Sign' moeten oplichten.
11. Selecteer tabblad [Netscape] SSL CA, s/MIME CA, enObject Signing CA moeten oplichten
12. Klik onderaan op OK.
B. Het maken van een HTTPS Cliënt certificaat.
1. Selecteer met de muis het rootcertificaat om het cliënt certificaat daaraan te koppelen.
2. klik op het tabblad [Certificaten] en klik daarna rechts in op [New Certificate]
3. Selecteer het tabblad [Source]
4. Signing -> 'Use this certificate for signing: -> Root certifcate
5. Signature algorithm -> [SHA 1] omdat dit je client certificaat is, mag je deze ook in SHA 256 veranderen.
6. Template -> '[default] HTTPS_client'. klik op [ Apply all] Vergeet dit niet.
7. Selecteer tabblad [Subject] Vul hier in elk geval [Internal name] en [CommonName] in en in het emailAdress het mail adres waarvoor dit certificaat bedoelt is. Heel belangrijk want Thunderbird koppelt het vertrouwen aan dat email adres. Vandaar elk cliënt certificaat een eigen mail adres moet hebben.
8. Private Key -> klik op [Generate a new key]
9. Selecteer tabblad ['Extensions] en verander de Time range Default is 365 dagen. Maak de geldigheid periode niet langer of gelijk aan het Root certificaat, want die is enkele minuten hiervoor al gemaakt, en kan dus geen 10 jaar geldig zijn. Maak deze in elk geval een jaar korter. Vergeet niet op [Apply] te klikken.
10. Selecteer tabblad [Key Usage] Digital Signature', 'Key Encipherment' and 'Data Encipherment' moeten oplichten.
11. Selecteer tabblad [Netscape] SSL Client' and 'S/MIME moeten hier oplichten.
12. Klik onderaan op OK
13. Het client certificaat moet nu zichtbaar onder het root certificaat zijn.
C. Het exporteren van de certificaten.
1. Selecteer het root certificaat en klik rechts op [Export]
2. Het export format moet zijn PEM (*.crt)
3. Verander de map waar je deze wilt hebben naar Vertrouwenscertificaten en klik op OK
4. Selecteer het client certificaat, en klik rechts op [Export]
5. Verander de map waar je deze wilt hebben naar private-publieke.
5 Verander het (export Format) in PKCS (*.p12) en klik op OK
D. Het importeren van het root certificaat en het cliënt certificaat (private en publieke sleutel) in het certificatenbeheer van Thunderbird.
1. Open Thunderbird, en klik op Extra-> Opties->Geavanceerd->Certificaten beheren->Organisaties.
Klik hier op Importeren, en blader naar de map Vertrouwenscertificaten. Klik op het root cerificaat.
Vink het middelste vakje aan : [Deze CA vertrouwen voor het identificeren van e-mailgebruikers]
2. Klik nu op de sectie [Uw Certificaten klik op importeren. Selecteer de map Private Publieke certificaten en klik op het aanwezige certificaat. Thunderbird zal u nu vragen om het wachtwoord, en als die klopt wordt het certificaat opgenomen.
3. Ga nu naar Accountinstellingen en klik in het account op [Beveiliging] -> Digitaal ondertekenen -> Dit certificaat gebruiken om berichten die u verzendt digitaal te ondertekenen. Een en ander leid zichzelf.
Procedure uitwisseling certificaat
Wanneer persoon A nu versleutelde en ondertekende mails naar persoon B wil sturen moeten beide hun root certificaat met elkaar uitwisselen. Dit kan door deze als bijlage naar elkaar te mailen.
Dit root certificaat moet worden geimporteert , reeds uitgelegd waar, en vervolgens moet A een ondertekende mail naar B sturen, en wanneer B die opent zal Thunderbird automatisch de publieke sleutel van A detecteren, en deze in het certificaatbeheer in de sectie [Personen] van B importeren.
Uitvoering en uitkomst
Elke mail die is versleuteld zal niet meer gelezen kunnen worden in de browser webmail. In Google Gmail zal dan een hangslotje zichtbaar zijn. De ontvangen email in Thunderbird zal in dezelfde vorm waar het in is opgemaakt zichtbaar zijn. Er hoeft nooit een wachtwoord te worden ingevoerd.
De ontvanger zal in de menu balk van Thunderbird een envelop en hangslotje zien indien de mail versleuteld en ondertekend is.
Een mail verzonden naar iemand wiens publieke sleutel ontbreekt, zal door Thunderbird geweigerd worden.
Pas als de opties voor het versleutelen en ondertekenen uit gevinkt zijn kan de email gewoon worden verzonden.
Hier nog een paar websites met informatie
Blogspot hmcguir 2009
Carbonwind
mbse
Barracuda uitleg met plaatjes