Digitale Signatur auf iPhone und iPad Geräten

Besitzen Sie ein Apple Gerät mit dem Operationssystem iOS, also ein iPhone oder iPad? Dann ist diese Anleitung eben für Sie bestimmt. Sie zeigt Ihnen, wie sich das ausgestellte Zertifikat auf das Gerät importieren und dem Postclient zuordnen lässt. Ebenfalls erfahren Sie, wie direkt in dem Gerät mit iOS eine Nachricht zu unterschreiben und verschlüsseln ist.

Zertifikatsimport

Zertifikate S/MIME Client Premium enthalten eine E-Mailadresse, für welche sie ausgestellt werden. Damit überprüft werden kann, dass der Inhaber der betroffenen Adresse mit der Zertifikatsausstellung einverstanden ist, muss diese Adresse vor der Ausstellung des Zertifikats bestätigt werden.

Der von der Zertifizierungsstelle abgesendete Bestätigungslink leitet Sie auf das Web von DigiCert weiter. Hier werden Sie das positive Ergebnis von der Überprüfung der Adresse und Informationen über die nachfolgende Ausstellung des Zertifikats sehen können. In diesem Moment ist alles erledigt und für die Ausstellung brauchen Sie nichts mehr zu tun.

Internet Explorer wird nicht mehr genutzt, um das Zertifikat abzuholen. S/MIME Zertifikate werden gleich wie die TLS/SSL-Zertifikate aufgrund des gelieferten CSR ausgestellt.

Das ausgestellte Zertifikat erhalten Sie per E-Mail. Exportieren Sie es in eine PFX-Datei (dies können Sie im Detail der Bestellung in Ihrer Kundenverwaltung bei SSLmarket tun, wenn Sie "Zertifikat in PFX herunterladen" anklicken) und importieren es in diesem Format auf Ihr iPhone oder iPad. Dies können Sie am einfachsten per E-Mail tun – senden Sie die PFX einfach sich selbst im Anhang zu. Die eingegangene Datei öffnen Sie und als Bestätigung des erfolgreichen Importierens werden Sie Profil geladen sehen.

Gehen Sie in Einstellungen – Allgemein – Profile (die letzte Option). Hier tasten Sie Identitätszertifikat und in dem nächsten Schritt installieren Sie es. Die Warnung Nicht signiert ignorieren Sie und sobald Sie zu der Eingabe des Passwortes zu dem Zertifikat angefordert werden, geben Sie das Passwort ein, welches Sie für die PFX-Datei ausgewählt haben. Lassen Sie sich nicht davon verwirren, dass zwei Passwörter eingegeben werden müssen – das erste zur Entsperrung des iOS Gerätes und erst das zweite für die PFX. Nun ist das Zertifikat in dem Gerät importiert und Sie können mit seiner Nutzung beginnen.

Nicht überprüft beim Profil bedeutet nichts Schlimmes
Nicht überprüft beim Profil bedeutet nichts Schlimmes

Nachdem das Profil erfolgreich geladen ist, wird das Zertifikat in dem Gerät als sog. Konfigurationsprofil bezeichnet, was im Vergleich mit den PC-Programmen unlogisch wirkt.

Einstellung des Zertifikats zum Signieren

Damit die Nachrichten signiert werden können, muss das Zertifikat zu einem konkreten Postfach zugeordnet werden – gleich wird bei Desktops vorgegangen. Nach dem erfolgreichen Import gehen Sie also zur Einstellung des Zertifikats für Ihren E-Mail-Account über.

Gehen Sie folgendermaßen vor: Einstellungen – Passwörter & Accounts – und wählen Sie das Postfach aus. Im Detail klicken Sie wieder auf den Namen des Accounts und in dem nächsten Detail öffnen Sie Erweitert. Die Sektion S/MIME unten enthält Umschalttasten für Optionen Signieren und Standardmäßig verschlüsseln. Damit diese Funktionen eingeschaltet werden können, muss sich das Zertifikat in dem Gerät logischerweise schon befinden.

Sowohl das Signieren der E-Mails als auch ihre Verschlüsselung kann für jede Nachricht als Standard (Default) eingestellt werden.

Signierung von E-Mails

Im iOS stellen Sie als Standard minimal das Signieren von E-Mails für das betreffende Postfach ein. Beim Ausfüllen der E-Mailadresse des Empfängers werden Sie neben der Adresse ein kleines Sperrschloss sehen. Dieses indiziert die Absicherung – ein geöffnetes Schloss bedeutet die Signatur, geschlossenes symbolisiert die Verschlüsselung. Ebenfalls werden Sie ein rotes Schloss-Symbol sehen können – dieses teilt uns mit, dass die Verschlüsselung nicht genutzt werden kann – siehe den letzten Abschnitt.

Wenn Sie das blaue Schloss tasten, werden Sie zwischen der Signierung und Verschlüsselung der Nachricht umschalten können – dem Empfänger kann die Nachricht sowohl signiert als auch verschlüsselt eingehen. Sie können auch mehrere Adressen der Empfänger nutzen.

Verschlüsselung von E-Mails

iOS Geräte ermöglichen natürlich auch eine verschlüsselte Nachricht abzusenden. Dies setzt die Installierung (sic) des Zertifikats des Empfängers in das Gerät voraus. Es reicht nicht aus, die Nachricht mit dem öffentlichen Schlüssel nur zu empfangen, wie es bei den PC-Anwendungen (Outlook, Thunderbird) üblich ist. Öffnen Sie deshalb eine signierte E-Mail des Empfängers, klicken Sie auf das Detail der Signatur, lassen Sie sich das Zertifikat anzeigen und installieren Sie es. Erst dann können Sie diesem Empfänger eine verschlüsselte Nachricht zusenden.

Detail der signierten und verschlüsselten E-Mail und Imports des Zertifikats aus der E-Mail
Detail der signierten und verschlüsselten E-Mail und Imports des Zertifikats aus der E-Mail

Für die Absendung einer verschlüsselten Nachricht brauchen Sie die Verschlüsselung nur als Default einzuschalten (siehe Abschnitt Einstellung des Zertifikats zum Signieren). Die Option der Verschlüsselung wird Ihnen dann bei den Empfängern angeboten, deren Zertifikat Sie importiert haben. Gleich am Anfang des Schreibens einem solchen Empfänger wird Ihnen die Verschlüsselung nicht nur durch das Symbol des Schlosses bestätigt, sondern auch durch einen Text in der Kopfzeile der Nachricht. Die Verschlüsselung können Sie auf Signierung durch das Tasten des Schlosses ändern. Dieses wird sich entweder öffnen, oder durchschritten. Dies hängt von der genutzten Version von iOS ab – die Abbildungen sind unterschiedlich.

Signierung und Verschlüsselung auf iPhone

Probleme, auf welche Sie stoßen können

  • Importierte Zertifikate werden in den Profilen als Nicht überprüft markiert. Dies hängt mit ihrer Vertrauenswürdigkeit nicht zusammen und in dem E-Mail-Client sind sie völlig vertrauenswürdig, was auch deutlich ist. Die importierten Zertifikate werden als nicht vertrauenswürdig von Default angezeigt, aber in dem E-Mail-Client funktionieren sie einwandfrei. Mehr können Sie in dem Infozentrum von Apple erfahren.
  • Bei älteren iOS Versionen kann auch ein Problem mit der Verschlüsselung der Nachricht auftauchen (z. B. iOS 12), wenn der Client bei der Absendung die Verschlüsselung nicht nutzen will. Bei iOS 13 droht dieses Problem nicht und deshalb lösen Sie diesen Fehler durch ein Update.
  • In iOS kann der E-Mail-Client sich selbst eine E-Mail nicht verschlüsseln, somit werden Sie eine verschlüsselte Nachricht an die Adresse des Absenders nicht absenden können.
  • Sie können auch auf Bugs stoßen, wenn z. B. in iOS 12.4.7. die Übersicht Verschlüsselt grundlos angezeigt bleibt.