Fragen und Antworten zu Zertifikaten in Mozilla Anwendungen

  1. Wie werden Zertifikate in Mozilla Anwendungen gespeichert?
  2. Wo sind die Zertifikate zu finden?
  3. Wie bekomme ich mein Zertifikat in den Mozilla Thunderbird?
  4. Wie kann ich ein beliebiges Zertifikat (ohne privaten Schlüssel) exportieren?
  5. Wie kann ich mein Zertifikat (mit meinem privaten Schlüssel) exportieren?
  6. Warum zeigt der Firefox trotz erfolgter Integration des Wurzelzertifikats immer noch eine Fehlermeldung an?
  7. Warum fragt meine Mozilla Anwendung nach einem "Master-Passwort"?

1. Wie werden Zertifikate in Mozilla Anwendungen gespeichert?

Mozilla Firefox, Mozilla Thunderbird und die meisten anderen Anwendungen (z.B. Adobe Acrobat) haben jeweils ihren eigenen Zertifikatspeicher. Wird z.B. im Mozilla Firefox ein Zertifikat hinzugefügt, so ist es NICHT automatisch im Mozilla Thunderbird verfügbar. Ein Zertifikat muss also expliziet in jede Anwendung importiert werden. Ein Grund hierfür liegt darin, dass diese Anwendungen auf verschiedenen Betriebssystemen (Windows, Linux, Apple) verfügbar sind.

2. Wo sind die Zertifikate zu finden?

In Mozilla Anwendungen können die Zertifikate im sogenannten "Zertifikat-Manager" angesehen werden. Diesen erreicht man je nach verwendetem System über:

In beiden Fällen öffnet sich ein Fenster mit mehreren Karteireitern. Auf dem ersten Karteireiter ("Ihre Zertifikate" bzw. "Eigene Zertifikate") werden die eigenen Zertifikate angezeigt. Wichtig: zu diesen Zertifikaten liegt auch der private Schlüssel lokal vor.

3. Wie bekomme ich mein Zertifikat in den Mozilla Thunderbird?

Nutzer von Mozilla Anwendungen erzeugen ihr persönliches Schlüsselpaar typischerweise im Mozilla Firefox. Das entsprechende Zertifikat steht nicht automatisch auch im Mozilla Thunderbird zur Verfügung. Um das eigene Zertifikat mit privaten Schlüssel im Mozilla Thunderbird zum Signieren und Entschlüsseln von Mails nutzen zu können, muss es dorthin kopiert werden. Dazu sind folgende Schritte auszuführen:

4. Wie kann ich ein beliebiges Zertifikat (ohne privaten Schlüssel) exportieren?

Öffnen Sie zunächst über die Einstellungen mittels "Zertifikate anzeigen..." die "Zertifikatverwaltung" und markieren Sie darin das Zertifikat, das Sie exportieren möchten. Wenn Sie auf das gewünschte Zertifikat doppelklicken, öffnet sich die "Zertifikat-Ansicht", wechseln Sie darin auf den Karteireiter "Details" und wählen Sie im Kasten "Zertifikatshierarchie" nochmals das zu exportierende Zertifikat aus, denn ansonsten wird ggf. ein CA-Zertifikat der CA-Kette exportiert. Dann klicken Sie auf den "Exportieren..."-Knopf und folgen den Anweisungen.

5. Wie kann ich mein Zertifikat (mit meinem privaten Schlüssel) exportieren?

Zu Ihren eigenen Zertifikaten besitzen Sie typischerweise auch das zugehörige Schlüsselpaar und dabei insbesondere den (unbedingt geheim zu haltenden) privaten Schlüssel, auf dessen Basis Sie sich z.B. im Internet ausweisen können. In einigen Fällen kann es erforderlich sein, ein eigenes Zertifikat mit eigenem privaten Schlüssel zu exportieren, z.B. um dieses in einer anderen Anwendung zu nutzen oder um eine Sicherheitskopie zu erzeugen.

Öffnen Sie zunächst das Fenster mit den Zertifikaten und markieren Sie unter dem Karteireiter "Ihre Zertifikate" das Zertifikat, das Sie exportieren möchten, drücken Sie dann den Knopf "Sichern". Um das Zertifikat als Datei auf Ihrem Computer zu speichern, geben Sie einen Dateinamen an. Abschließend erhalten Sie die Meldung, dass die Datei erzeugt wurde ("Ihre Sicherheitszertifikate und privaten Schlüssel wurden erfolgreich gesichert."). Weitere Informationen finden Sie im DFN-PKI Blog.

Wichtig: Sie müssen die Datei mit einem "Zertifikats-Backup-Passwort" versehen, da diese Datei auch Ihren (unbedingt geheim zu haltenden) privaten Schlüssel enthält.

6. Warum zeigt der Firefox trotz erfolgter Integration des Wurzelzertifikats immer noch eine Fehlermeldung an?

Grund hierfür ist in der Regel, dass der Webserver bei dem Verbindungsaufbau nicht die komplette CA-Kette mit allen Zwischenzertifizierungstellen (das DFN-Verein PCA Global-G01 Zertifikat und das Zertifikat Ihrer ausgelagerten CA) ausliefert. Dadurch kann der Browser keine Verkettung zu dem vorinstallierten Wurzelzertifikat herstellen.

Damit der Webserver die CA-Kette ausliefert, kann für den Apache Webserver z.B. die Konfigurationsdirektive "SSLCertificateChainFile" verwendet werden. Als Parameter muss eine Datei mit allen CA-Zertifikaten angegeben werden, wie sie auf den Antragsseiten Ihrer ausgelagerten CA (unter CA-Zertifikate -> Zertifikatkette anzeigen) zu finden ist.

Für den Internet Information Server muss die Zertifikatkette in den Zertifikatspeicher "Zwischenzertifizierungsstellen" importiert werden.

7. Warum fragt meine Mozilla Anwendung nach einem "Master-Passwort"?

Mozilla Anwendungen schützen die gespeicherten geheimen Schlüssel und Username/Passwort-Kombinationen für Webseiten mit einem "Master-Passwort". Dieses kann - und sollte aus Sicherheitsgründen - unter "Einstellungen - Sicherheit" gesetzt und geändert werden. Weitere Informationen für das Vorgehen für Firefox finden Sie bei Mozilla.

Aber Vorsicht: Wenn man ein gesetztes Master-Passwort vergessen hat, kann man den Passwort-Speicher nur komplett zurücksetzen. Das bedeutet, dass alle gespeicherten geheimen Schlüssel der eigenen Zertifikate verloren gehen, ebenso wie die dort gespeicherten Username/Passwort-Kombinationen. Informationen zum Zurücksetzen des Master-Passworts in Firefox finden Sie ebenfalls bei Mozilla.

Anleitungen für Thunderbird und Seamonkey finden Sie in der Knowledgebase des mozillaZine (englisch).

     aktualisiert am: 11.05.2021 |