Clientzertifikat für Outlook anfordern

Lesen und verstehen Sie auch die SSL-Grundlagen

Für die Anforderung eines Clientzertifikats benötigen Sie eine Zertifizierungsstelle. Sie können mit Windows Server selbst eine Zertifizierungsstelle installieren.  Die Anleitung hierzu findet sich auf Zertifikatsstelle installieren.

Ein weiterer Einsatzzweck für Zertifikate ist die Verschlüsselung und Signierung von Nachrichten. Hierzu muss der Anwender natürlich zuerst ein Zertifikat erhalten, welches den öffentlichen Schlüssel und eine von jedem überprüfbare Signatur enthält. Diese Zertifikat kann der Anwender an jeden Kommunikationspartner weiter geben. Diese können ihm dann verschlüsselte Nachrichten senden, weil nur der Anwender den passenden privaten Schlüssel dazu hat.

Umgekehrt kann der Anwender erst dann jede ausgehende Mail digital signieren und sein Zertifikat anhängen, weil danke es öffentlichen Schlüssels und dem Zertifikat nun jeder Empfänger die Authentizität des Senders prüfen kann.

Nur wie kommt der Anwender ein Zertifikat ?. Auch hier gibt es mehrere Wege:

  • Selbstzertifikat
    ähnliche die beim Webserver könnten Sie sich auch selbst ein Zertifikat ausstellen. Nur hilft das nicht viel weiter, da kaum ein Kommunikationspartner einer so signierten Mail vertraut
  • offizielles Zertifikat
    Sie können auch als Einzelperson ein Zertifikat bei einer kommerziellen Firma kaufen, welches durch offizielle CAs ausgestellt wird. Viele Firmen bieten Zertifikate zum "Test" oder privaten Gebrauch kostenfrei an. So erreichen Sie eine bessere Verbreitung ihrer eigenen CA und alle hoffen zukünftig auf den "Return of Investment"
  • Eigene CA
    Für den internen Gebrauch innerhalb der Firma können Sie auch mit einer eigenen CA (Siehe Zertifikatsstelle installieren) arbeiten. Das hilft zwar nicht direkt für die Kommunikation mit fremden Personen aber ihnen vertraute Personen können einfach ihre Liste der vertrauenswürdigen Stammzertifikate importieren und damit alle Kommunikation mit ihren Kollegen absichern.

Nur wie kommen Sie zu einem Zertifikat ?. Das ist gar nicht mal so schwer. Sie müssen nur einfach ein Zertifikat in Outlook einrichten. Unter "Extras - Optionen" gibt es die Karteikarte Sicherheit. Hier finden Sie auch die Möglichkeit, Zertifikate zu importieren und exportieren.

Nur der Klick auf "Digitale ID anfordern ..." bringt sie im Internet auf kommerzielle Anbieter für Zertifikate. Sie können aber auch problemlos selbst ein Zertifikat auf ihrem eigenen Zertifikatsserver anfordern und installieren. Sie müssen dazu einfach mit einem Browser auf die Webseite des Zertifikatsserver gehen:

HTTP://zertifikatserver.firma.tld/certsrv

Sie müssen Sich natürlich an der Webseite mit ihrem Benutzernamen und ihrem Kennwort anmelden. Sofern die integrierte Anmeldung auf dem Webserver aktiv ist und Sie mit dem Internet Explorer arbeiten, kann die Authentifizierung automatisch erfolgen. Die Webseite beschreibt sehr plausibel die Funktion. Nur der Links zum Anfordern geht fast unter.

Um ein Clientzertifikat auf VISTA anzufordern, muss der Administrator zuerst die Windows CA aktuelisieren. Siehe auch: 922706 How to use Certificate Services Web enrollment pages together with Windows Vista

Sie möchten natürlich ein Zertifikat anfordern und abhängig von ihren Benutzerrechten bietet ihnen der Server die möglichen Zertifikate an. Um E-Mail digital zu signieren, benötigen Sie natürlich ein Benutzerzertifikat.

Zur Information: Über die erweiterte Zertifikatsanforderung können Sie bei entsprechenden Berechtigungen auch andere Zertifikate, z.B. für Codesignierung, Webserver etc. anstoßen. Allerdings hat auch der Administrator nicht alle Rechte. Hier sind weitere Einstellungen auf dem Zertifikatsserver erforderlich.

Da der Webserver den Active Directory Benutzer anhand der Autorisierung erkannt hat, muss nichts weiter eingefüllt werden. Der Zertifikatsserver hat sich aus dem Active Directory selbst die Daten geholt, so dass Sie im nächsten Fenster einfach die Anforderung einsetzen.

Das würde dann so aussehen, Bitte wählen Sie diese Option jetzt nicht.

Wenn Sie die Anforderung einfach einsenden, dann wird der Browser für Sie das Zertifikat anfordern. Über diese Aktion informiert Sie der Browser mit einer Warnung:

Nach ein paar Sekunden steht das Zertifikat zum Download bereit.

Über diesen Schritt werden Sie wieder informiert, da der Internet Explorer auf ihren "Geschützten Speicher" in ihrem Benutzerprofil zugreifen will und dies nicht ohne ihr Einverständnis erfolgen darf.

Und eine weitere Meldung informiert Sie darüber, dass die das Zertifikat installieren wollen. Hier können Sie erneut die Echtheit der ausstellenden Zertifikatsstelle anhand des Fingerabdrucks überprüfen.

Der Erfolg wird wieder im Internet Explorer angezeigt.

Die Einbindung des Outlooks erfolgt dann wieder unter Optionen. Wenn Sie auf der Karteikarte "Sicherheit" die Einstellungen betätigen, können Sie eine neue Sicherheitseinstellung anlegen. Über "Auswählen" werden ihnen alle installierte Zertifikat angezeigt.

Mit einer entsprechenden Einstellung können Sie ab sofort ausgehende Nachrichten digital signieren. Der Empfänger erhält optional ihr Zertifikat, so dass er seinerseits Nachrichten an sie verschlüsseln kann. Damit Sie selbst aber Nachrichten an ihren Partner verschlüsseln können benötigt ihr Gegenüber ein Zertifikat, welches er ihnen zur Verfügung stellt.

Weitere Links