Mailzertifikat

FAQ

Wenn sie in der Vergangenheit signierte Mails an externe Adressaten gesendet haben und ein neues Zertifikat bezogen habe, da ihr altes abläuft, dann kann es vorkommen, dass diese Externen ihnen ein Mail senden mit der Bitte, sie sollen doch ein signiertes Mail mit dem neuen Zertifikat an sie senden.
Dies ist in der Regel kein Phishing, ein Blick auf die Absenderfirma macht aber immer Sinn. Sie können auf diese Mails antworten, oder auch nicht. Wenn sie nicht antworten, dann kann diese Firma keine verschlüsselten Mails mehr an sie senden

Die Zertifikate sind für ETH Mitarbeiter kostenfrei. Die Informatikdienste der ETH Zürich tragen diese Kosten zentral.

Dies wird vom Informatik Support ihrer Organisationseinheit gesteuert. Sollten sie sich am PKI-Portal anmelden und keine Funktion zum beantragen eines Zertifikats sehen, so sind sie nicht frei geschaltet. Wenden sie sich in diesem Fall an ihren Informatik Support.

Sollten sie sich am PKI-Portal anmelden und keine Funktion zum beantragen eines Zertifikats sehen, so sind sie nicht frei geschaltet. Wenden sie sich in diesem Fall an ihren Informatik Support.

Das Signieren von Termin Einladungen wird von den Mail Clients nicht unterstützt.

Ja es gibt auch Zertifikate für Gruppen-Mailboxen. Die Bestellung erfolgt mittels Ticket an Service Desk mit den Informationen Account, Mail-Adresse und send-as-Berechtigungsgruppe. Alle Mitglieder der send-as-Berechtigungsgruppe sehen dann dieses Zertifikat in ihrem persönlichen PKI-Portal und können es Herunterladen und Installieren. Die Installation erfolgt analog zum persönlichen Zertifikat

Zum Verschlüsseln von Mails benötigen alle Beteiligten, also Absender und Empfänger, ein gültiges Zertifikat. Die öffentlichen Schlüssel aller Empfänger müssen dem Mail-Client des Absenders bekannt sein. Dies ist der Fall, wenn die Empfänger vorab ein signiertes Mail an den Absender gesendet haben. Der Mail-Client des Absenders verschlüsselt dann die Mail mit den öffentlichen Schlüsseln der Empfänger.

Das ist ein Fehler im MacOS Mail-Client. Es gibt dafür bereits ein Ticket bei Apple. Wann das behoben sein wird ist aber nicht bekannt.

Das Zertifikat war zum Zeitpunkt des Mailversands gültig. Wenn es aber inzwischen abgelaufen oder zurückgezogen wurde, dann zeigt Outlook dies irritierenderweise als Problem an.

Davon ist abzuraten. Dafür müsste der Auftraggeber sein Zertifikat an den Absender geben, was nach der BOT nicht erlaubt ist. Hier sollten eher die Möglichkeiten einer Gruppen-Mailbox eingesetzt werden.

In Outlook für Windows kann ich nur an einer Stelle festlegen, dass alle ausgehenden Mails signiert werden. Dies gilt dann für alle konfigurierten Mailboxen. In Outlook für MacOS kann dies pro konfigurierte Mailbox festgelegt werden.

Nein. Leider gibt es derzteit keine Möglichkeit die Mailzertifikate im Webmail zu verwenden.

Links

Sicherer Umgang mit E-Mails

Bestellung

Starten Sie ihren Browser (vorzugsweise Edge-Browser) und navigieren Sie auf folgende Webseite: https://pki-portal.ethz.ch ACHTUNG Sie müssen im ETH Netzwerk sein oder mit dem VPN verbunden sein, sonst können Sie die Seite nicht aufrufen.
Geben Sie ihren ETH Benutzername und Passwort ein. Klicken Sie auf Login Sollte ein Fenster mit «Kennwort speichern» aufpoppen, klicken Sie auf Nie ACHTUNG Nach dem Klick auf «Login» werden im Hintergrund die Daten geladen. Dies kann eine kurze Zeit in Anspruch nehmen. Aktualisieren oder Schliessen Sie das Fenster keinesfalls in diesem Prozess.
Klicken Sie auf Zertifikat beantragen Es wird die Haupt-Emailadresse und alle bei dem Benutzer hinterlegten Aliase in das Zertifikat übernommen. Es gibt nur eine Einschränkung auf freigegebene Mail-Domänen. ACHTUNG Die Erstellung des Zertifikats nimmt einen kurzen Moment in Anspruch. Klicken Sie nur einmal auf den Button «Zertifikat beantragen» und warten Sie, bis das neue Zertifikat angezeigt wird.
Geschafft, Sie haben nun ihr Zertifikat erfolgreich erstellt. Klicken Sie auf den Button Herunterladen, um das Zertifikat lokal abzuspeichern
Wählen Sie das Betriebssystem, auf welchem Sie das Zertifikat installieren möchten. ACHTUNG Kopieren Sie sich das Passwort in die Zwischenablage, dies wird später noch für die Installation des Zertifikats benötigt. Klicken Sie auf Herunterladen
Sie haben nun erfolgreich das Zertifikat heruntergeladen. Die Datei kann entweder direkt über Datei öffnen oder aus dem Ordner «Downloads» geöffnet werden. Fahren Sie nun mit der Installation des Zertifikates fort. ACHTUNG Sollten Sie einen anderen Browser als Edge verwenden, wird es anders aussehen als im Printscreen nebenan. Navigieren Sie zum Speicherort der pfx-Datei (normalerweise ist dies der Ordner «Downloads») und öffnen Sie die Datei durch Doppelklick.	Bsp. Mozilla Firefox (MacOs)

Starten Sie ihren Browser (vorzugsweise Edge-Browser) und navigieren Sie auf folgende Webseite: https://pki-portal.ethz.ch ACHTUNG Sie müssen im ETH Netzwerk sein oder mit dem VPN verbunden sein, sonst können Sie die Seite nicht aufrufen.
Geben Sie ihren ETH Benutzername und Passwort ein. Klicken Sie auf Login Sollte ein Fenster mit «Kennwort speichern» aufpoppen, klicken Sie auf Nie ACHTUNG Nach dem Klick auf «Login» werden im Hintergrund die Daten geladen. Dies kann eine kurze Zeit in Anspruch nehmen. Aktualisieren oder Schliessen Sie das Fenster keinesfalls in diesem Prozess.
Klicken Sie auf Erneuern ACHTUNG Dieser Button erscheint nur, wenn kein länger als 30 Tage gültiges Zertifikat vorhanden ist. Es wird die Haupt-Emailadresse und alle bei dem Benutzer hinterlegten Aliase in das Zertifikat übernommen. Es gibt nur eine Einschränkung auf freigegebene Mail-Domänen. ACHTUNG Die Erstellung des Zertifikats nimmt einen kurzen Moment in Anspruch. Klicken Sie nur einmal auf den Button «Zertifikat beantragen» und warten Sie, bis das neue Zertifikat angezeigt wird.
Geschafft, Sie haben nun ihr Zertifikat erfolgreich erstellt. Klicken Sie beim neuen Zertifikat auf den Button Herunterladen, um das Zertifikat lokal abzuspeichern
Wählen Sie das Betriebssystem, auf welchem Sie das Zertifikat installieren möchten. ACHTUNG Kopieren Sie sich das Passwort in die Zwischenablage, dies wird später noch für die Installation des Zertifikats benötigt. Klicken Sie auf Herunterladen
Sie haben nun erfolgreich das Zertifikat heruntergeladen. Die Datei kann entweder direkt über Datei öffnen oder aus dem Ordner «Downloads» geöffnet werden. Fahren Sie nun mit der Installation des Zertifikates fort. ACHTUNG Sollten Sie einen anderen Browser als Edge verwenden, wird es anders aussehen als im Printscreen nebenan. Navigieren Sie zum Speicherort der pfx-Datei (normalerweise ist dies der Ordner «Downloads») und öffnen Sie die Datei durch Doppelklick.	Bsp. Mozilla Firefox (MacOs)

Starten Sie ihren Browser (vorzugsweise Edge-Browser) und navigieren Sie auf folgende Webseite: https://pki-portal.ethz.ch ACHTUNG Sie müssen im ETH Netzwerk sein oder mit dem VPN verbunden sein, sonst können Sie die Seite nicht aufrufen.
Geben Sie ihren ETH Benutzername und Passwort ein. Klicken Sie auf Login. Sollte ein Fenster mit «Kennwort speichern» aufpoppen, klicken Sie auf Nie. ACHTUNG Nach dem Klick auf «Login» werden im Hintergrund die Daten geladen. Dies kann eine kurze Zeit in Anspruch nehmen. Aktualisieren oder Schliessen Sie das Fenster keinesfalls in diesem Prozess.
Sind Sie für eine oder mehrere Shared Mailboxes berechtigt, werden diese im PKI-Portal unterhalb ihres persönlichen Mailzertifikates als unpersönliche Mailzertifikate angezeigt.
Klicken Sie beim zu installierenden Mailzertifikat auf Herunterladen und wählen Sie im Anschluss das Betriebssystem aus, auf welchem Sie das Mail Zertifikat installieren möchten. ACHTUNG Kopieren Sie sich das Passwort in die Zwischenablage, dies wird später noch für die Installation des Zertifikats benötigt. Klicken Sie auf Herunterladen.
Sie haben nun erfolgreich das Zertifikat heruntergeladen. Die Datei kann entweder direkt über Datei öffnen oder aus dem Ordner «Downloads» geöffnet werden. Fahren Sie nun mit der Installation des Zertifikates fort. ACHTUNG Sollten Sie einen anderen Browser als Edge verwenden, wird es anders aussehen als im Printscreen nebenan. Navigieren Sie zum Speicherort der pfx-Datei (normalerweise ist dies der Ordner «Downloads») und öffnen Sie die Datei durch Doppelklick.	Bsp. Mozilla Firefox (MacOs)

Für alle Shared Mailboxes in den Zentralen Organen sind Mailzertifikate erstellt und können, sofern für die jeweilige Shared Mailbox berechtigt, direkt im PKI-Portal heruntergeladen und installiert werden.

Installation

Windows

Öffnen Sie das soeben heruntergeladene File «PersonalEmail.pfx» Bei einem Zertifikat für Shared Mailbox lautet die Bezeichnung «Email_SharedMailboxName.pfx» Belassen Sie die Einstellung «Aktueller Benutzer» und klicken Sie auf Weiter.
Belassen Sie den Dateinamen und klicken Sie auf Weiter
Fügen Sie das vorhin im PKI-Portal angezeigte Passwort ein und belassen Sie alle anderen Einstellungen. Klicken Sie auf Weiter
Belassen Sie die Einstellungen und klicken Sie auf Weiter
Klicken Sie auf Fertig stellen Bestätigen Sie die anschliessende Meldung mit Klick auf OK

Starten Sie Outlook und klicken Sie oben links auf Datei - Optionen
Klicken Sie links auf Trust Center und rechts auf den Button Einstellungen für das Trust Center…
Klicken Sie links auf E-Mail-Sicherheit und rechts auf den Button Einstellungen…
Überprüfen Sie, ob im Feld Name der Sicherheitseinstellungen: ihre E-Mail-Adresse angezeigt wird. Klicken Sie im Feld Signaturzertifikat: auf den Button Auswählen… Achtung Sollte das Feld "Name der Sicherheitseinstellung" leer sein, können Sie einen beliebigen Text eingeben und auf "Neu" klicken, nachdem Sie das Zertifikat ausgewählt haben. (Bitte beachten Sie, dass Sie diesen eingegebenen Text im späteren Verlauf der Anleitung anstatt Ihrer E-Mail-Adresse auswählen müssen) Sollten Sie bereits schon ein Zertifikat haben, werden mehrere angezeigt. Wählen Sie das neue Zertifikat aus. Dieses erkennen Sie am Datum. Sollten Sie dieses z. Bsp. heute bestellt haben, müsste das heutige Datum ersichtlich und das Zertifikat ab Erstellungsdatum drei Jahre gültig sein. Wählen Sie im Feld Hashalgorithmus SHA256 aus Wiederholen Sie die Auswahl des Zertifikats für das Feld Verschlüsselungszertifikat. Belassen Sie die anderen Einstellungen wie vorhanden (siehe auch Printscreen nebenan) Klicken Sie auf OK
Überprüfen Sie, ob im Feld Standardeinstellung ihre E-Mail-Adresse ersichtlich ist. SEHR WICHTIG Setzen Sie den Haken bei Ausgehende Nachrichten digitale Signatur hinzufügen Klicken Sie auf OK und anschliessend gleich nochmals auf OK
GRATULATION! Sie haben nun das neue Zertifikat erfolgreich installiert. Überprüfen Sie dies, indem Sie einem Kollegen oder sich selber eine E-Mail senden. Neben ihrem Absender solle nun ein Siegel ersichtlich sein.

Starten Sie Outlook und klicken Sie oben links auf Datei - Optionen
Klicken Sie links auf Trust Center und rechts auf den Button Einstellungen für das Trust Center…
Klicken Sie links auf E-Mail-Sicherheit und rechts auf den Button Einstellungen…
Überprüfen Sie, ob im Feld Name der Sicherheitseinstellungen: ihre E-Mail-Adresse angezeigt wird. Klicken Sie im Feld Signaturzertifikat: auf den Button Auswählen… Es werden mehrere Zertifikate angezeigt. Eventuell müssen sie auf "More choices" drücken. Wählen Sie das neue Zertifikat aus. Dieses erkennen Sie am Datum. Sollten Sie dieses z. Bsp. heute bestellt haben, müsste das heutige Datum ersichtlich und das Zertifikat ab Erstellungsdatum drei Jahre gültig sein. Wählen Sie im Feld Hashalgorithmus SHA256 aus Wiederholen Sie die Auswahl des Zertifikats für das Feld Verschlüsselungszertifikat. Belassen Sie die anderen Einstellungen wie vorhanden (siehe auch Printscreen nebenan) Klicken Sie auf OK

Starten Sie Outlook und klicken Sie oben links auf Datei - Optionen
Klicken Sie links auf Trust Center und rechts auf den Button Einstellungen für das Trust Center…
Klicken Sie links auf E-Mail-Sicherheit und rechts auf den Button Einstellungen… Deaktivieren Sie die Option "Ausgehende Nachrichten digitale Signatur hinzufügen" Durch zweimaliges Klicken auf "OK" ist der Vorgang abgeschlossen

macOS

- macOS 11 und 12: Gehen Sie zum Systemeinstellungen → Profile → löschen sie zuoberst das Profil mit ihrem alten Zertifikat - Ab macOS 13: Gehen Sie zum Systemeinstellungen → Datenschutz & Sicherheit → Profile → löschen sie zuoberst das Profil mit ihrem alten Zertifikat Gehen Sie zum Downloads-Ordner (im FInder oder in der Symbolleiste) und doppelklicken Sie auf die "mobileconfig"-Datei. Dabei handelt es sich um ein "Konfigurationsprofil", das zur sicheren Verteilung von Zertifikaten unter macOS verwendet wird. Bis einschliesslich macOS 10.15: Wenn Sie Safari mit Standardeinstellungen verwenden, ist dies nicht notwendig, da die Installation automatisch beginnt. Ab macOS 11: Wenn Sie das Konfigurationsprofil doppelklicken, ist eine Notification zu sehen. Diese kann geschlossen worden.	Ab macOS 11:
Bis einschliesslich macOS 10.15: Drücken Sie auf "Fortfahren". macOS 11 und 12: Gehen Sie zum Systemeinstellungen → Profile. Klicken Sie auf dem Profil in der Geladen Sektion. Klicken Sie auf Installieren... Ab macOS 13: Gehen Sie zum Systemeinstellungen → Datenschutz & Sicherheit → Profile. Doppelklicken Sie auf dem Profil in der Geladen Sektion. Klicken Sie auf Installieren...	Bis einschliesslich macOS 10.15: macOS 11 und 12: Ab macOS 13:
Das Passwort von dem PKI-Portal muss eingegeben worden	Bis einschliesslich macOS 10.15: macOS 11 und 12: Ab macOS 13:
Bestätigen Sie, das Profil installieren zu wollen, indem Sie auf "Installieren" drückt. Bis einschliesslich macOS 10.15: Bestätigen Sie noch einmal, das Profil installieren zu wollen, indem Sie auf "Installieren" drückt.	Bis einschliesslich macOS 10.15: Ab macOS 13:
Das Zertifikat ist nun installiert.	Bis einschliesslich macOS 10.15: Ab macOS 13:

Öffnen Sie Apple Mail und klicken auf "Neue E-Mail erstellen"

Sie können nun Mails signieren. Dies wird mit einer blauen "signierten" Schaltfläche angezeigt, die zwischen Aktivieren/Deaktivieren umgeschaltet werden kann.
Wenn Sie über den öffentlichen Schlüssel der E-Mail-Adresse des Empfängers verfügen, können Sie die Mail auch "verschlüsseln". Dies wird durch eine blaue "verschlüsselte" Schaltfläche angezeigt, die zwischen Aktivieren/Deaktivieren umgeschaltet werden kann.

Starten Sie Outlook Klicken Sie auf der Menüleiste auf "Outlook" und wählen dann "Einstellungen..."
Klicken Sie auf "Konten"
Klicken Sie auf "Erweitert..."
Wählen Sie die Registerkarte "Sicherheit" Unter "Digital Signieren", dem Punkt "Zertifikat", wählen Sie im Drop-Down Menü das Zertifikat, welches auf Ihren Namen lautet. Aktivieren Sie die Checkbox "Ausgehende Nachrichten signieren" Unter "Verschlüsselung", dem Punkt "Zertifikat", wählen Sie im Drop-Down Menü das Zertifikat, welches auf Ihren Namen lautet.
Wenn Sie nun ein neues Mail erstellen, sollte unter "Optionen" die Schaltfläche Signieren aktiviert sein.

Bis einschliessend macOS 12:
Gehen Sie zum Systemeinstellungen → Profile.

Ab macOS 13:
Gehen Sie zum Systemeinstellungen → Datenschutz & Sicherheit → Profile.

Klicken Sie auf dem Profil in der Benutzer Sektion. Klicken Sie auf der "Minus" ("-") Knopf...

Bis einschliessend macOS 12:

Ab macOS 13:

Klicken Sie auf Entfernen, um das Löschen zu bestätigen.

Bis einschliessend macOS 12:

Ab macOS 13:

Das Profil und die verbundene Zertifikate sind nun gelöscht.

Linux

Gehen Sie auf die Seite: PKI Zertifikatsmanagement und klicken auf “QuoVadis Swiss Advanced CA G4”
Wenn Sie gefragt werden, wie Sie die Datei öffnen wollen, wählen Sie "Sichere Datei" und klicken Sie auf OK Notieren Sie sich, wo Sie die Datei gespeichert haben, da Sie sie in den nächsten Schritten benötigen.
Öffnen Sie Thundebird Klicken Sie auf die 3 horizontalen Linien oben rechts und wählen Sie “Preferences”
Klicken Sie auf “Privacy & Security” und scrollen Sie nach unten zu den Zertifikaten und klicken Sie auf “Manage Certificates”
Klicken Sie auf “Authorities” und klicken dann auf “Import”
Navigieren Sie zu dem QuoVadis Swiss Advanced CA G4 Zertifikat und klicken Sie auf öffnen
Wählen Sie beide Optionen für "Trust this CA to identify" und klicken Sie auf "OK".
Scrollen Sie in der Zertifikatsliste nach unten und suchen Sie nach QuoVadis und bestätigen Sie, dass das Zertifikat installiert ist.
Klicken Sie auf “Your Certificates” und dann auf “import”. Navigieren Sie zu Ihrem Zertifikat
Navigieren Sie zu dem Ordner. Vergewissern Sie sich, dass alle Dateien ausgewählt sind, wählen Sie dann Ihr Zertifikat und klicken Sie auf "Open".
Geben Sie das Passwort ein, das Ihnen beim Herunterladen des Zertifikats mitgeteilt wurde, und klicken Sie auf "OK".
Das Zertifikat sollte importiert werden. Klicken Sie auf OK.
Schliessen Sie das "Preferences" Fenster
Klicken Sie mit der rechten Maustaste auf Ihre Mailbox und wählen Sie “Settings”
Klicken Sie auf “End-To-End Encryption” und scrollen runter zu S/MIME
Für die Einstellung "Personal certificate for digital signing" klicken Sie auf "Select" und klicken Sie auf das soeben installierte Zertifikat und klicken Sie auf "OK".
Klicken Sie in den Pop-Fenstern über Verschlüsselung auf "Yes"
Scrollen Sie ein wenig nach unten und stellen Sie sicher, dass "Add my digital signature by default" markiert und "Do not enable encryption by default" ausgewählt ist. Schließen Sie die Registerkarte “Account Settings”

Öffnen Sie Thunderbird Klicken Sie auf die 3 horizontalen Linien oben rechts und wählen Sie "Einstellungen".
Klicken Sie auf "Datenschutz & Sicherheit", scrollen Sie nach unten zu den Zertifikaten und klicken Sie auf "Zertifikate verwalten".
Klicken Sie auf "Ihre Zertifikate" und dann auf "Importieren" und blättern Sie zu Ihrem Zertifikat
Navigieren Sie zum Speicherort des neuen Zertifikats, wählen Sie es aus und klicken Sie auf "Öffnen".
Geben Sie das Passwort ein, das Ihnen beim Herunterladen des Zertifikats mitgeteilt wurde, und klicken Sie auf "OK".
Das neue Zertifikat sollte nun hinzugefügt werden. Bitte merken Sie sich die Seriennummer des neuen Zertifikats und klicken Sie auf "OK".
Schließen Sie das Einstellungsmenü.
Klicken Sie mit der rechten Maustaste auf Ihre Mailbox und wählen Sie "Einstellungen".
Klicken Sie auf "Ende-zu-Ende-Verschlüsselung" und scrollen Sie nach unten zu S/MIME. Für "Persönliches Zertifikat für digitalen Unterschriften" klicken Sie auf "Auswählen".
Wählen Sie das neu installierte Zertifikat aus der Dropdown-Liste und klicken Sie auf "OK". Sobald das neue Zertifikat ausgewählt ist, werden zusätzliche Informationen dazu im Textfeld darunter angezeigt.
Klicken Sie auf "Ja"
Das neue Zertifikat ist jetzt zum Signieren und Verschlüsseln konfiguriert. Bitte schliessen Sie die "Kontoeinstellungen".

Öffnen Sie Thunderbird Klicken Sie mit der rechten Maustaste auf Ihre Mailbox und wählen Sie "Einstellungen".
Klicken Sie auf "End-to-End-Verschlüsselung", scrollen Sie nach unten zu S/MIME und klicken Sie auf "Leeren", um sowohl das Signatur- als auch das Verschlüsselungszertifikat zu entfernen. Deaktivieren Sie auch die Option "Mein digitales Zertifikat standardmäßig hinzufügen". Sie können das Einstellungsfenster schliessen.

Laden Sie das Root-Zertifikat zur Installation herunter, bevor Sie das Benutzerzertifikat installieren: Gehen Sie auf die Seite: PKI Zertifikatsmanagement
Klicken Sie mit der rechten Maustaste auf "QuoVadis Swiss Advanced CA G4" und wählen Sie "Ziel speichern unter...".
Wählen Sie im nächsten Bildschirm aus, wo die Datei gespeichert werden soll, und klicken Sie dann auf "Speichern". Notieren Sie sich, wo Sie die Datei gespeichert haben, da Sie sie später noch benötigen.
Öffnen Sie Thundebird. Klicken Sie auf die 3 waagerechten Linien oben rechts und wählen Sie "Einstellungen" und klicken Sie dann erneut auf "Einstellungen".
Klicken Sie im linken Menü auf "Erweitert" und dann und klicken Sie rechts auf die Überschrift "Zerfikate" und dann "Zerfikate verwalten"
Klicken Sie auf "Zertifizierungsstellen" und dann auf "Importieren".
Navigieren Sie zu dem zuvor heruntergeladenen Zertifikat der QuoVadis Swiss Advanced CA G4 und klicken Sie auf "Offnen".
Wenn Sie den folgenden Bildschirm sehen, dann ist es bereits installiert und Sie können die nächsten Schritte überspringen, bis Sie zum Abschnitt für "Ihre Zertifikate" kommen.
Wählen Sie beide Optionen für "vertrauen" und klicken Sie auf "OK".
Scrollen Sie in der Zertifikatsliste nach unten und suchen Sie nach QuoVadis und bestätigen Sie, dass das Zertifikat installiert ist.
Klicken Sie auf "Ihre Zertifikate" und dann auf "importieren" und navigieren Sie zu Ihrem Zertifikat.
Navigieren Sie zu dem Ordner. Stellen Sie sicher, dass alle Dateien ausgewählt sind und wählen Sie dann Ihr Zertifikat aus und klicken Sie auf "Offnen".
Geben Sie das Passwort ein, das Ihnen beim Download des Zertifikats mitgeteilt wurde, und klicken Sie auf "OK".
Das Zertifikat sollte importiert werden. Klicken Sie auf OK. Schliessen Sie das Menü "Einstellungen".
Klicken Sie mit der rechten Maustaste auf Ihre Mailbox und wählen Sie "Einstellungen".
Klicken Sie auf “S/MIME-Sicherheit”.
Klicken Sie bei der Einstellung "Digitale Unterschrift" auf "Auswählen" und klicken Sie auf das soeben installierte Zertifikat und klicken Sie auf "OK".
Klicken Sie im Pop-up-Fenster zur Verschlüsselung auf "Ja".
Scrollen Sie ein wenig nach unten und vergewissern Sie sich, dass "Nachrichten digital unterschreiben (als Standard)" markiert ist und dass "Nie (keine Verschlüsselung verwenden)" ausgewählt ist. Schliessen Sie das Menü "Konto-Einstellungen".

Öffnen Sie Thunderbird. Klicken Sie auf die 3 horizontalen Linien oben rechts und wählen Sie "Einstellungen".
Klicken Sie im linken Menü auf "Erweitert" und dann und klicken Sie rechts auf die Überschrift "Zerfikate" und dann "Zerfikate verwalten".
Klicken Sie auf "Ihre Zertifikate" und dann auf "importieren" und navigieren Sie zu Ihrem Zertifikat.
Navigieren Sie zu dem Ordner. Stellen Sie sicher, dass alle Dateien ausgewählt sind und wählen Sie dann Ihr Zertifikat aus und klicken Sie auf "Offnen".
Geben Sie das Passwort ein, das Ihnen beim Download des Zertifikats mitgeteilt wurde, und klicken Sie auf "OK".
Das Zertifikat sollte importiert werden. Bitte beachten Sie die abweichende "Seriennummer" und das aktualisierte "Gültig bis"-Datum. Klicken Sie auf OK. Schliessen Sie das Menü "Einstellungen".
Klicken Sie mit der rechten Maustaste auf Ihre Mailbox und wählen Sie "Einstellungen".
Klicken Sie auf “S/MIME-Sicherheit”.
Klicken Sie bei der Einstellung "Digitale Unterschrift" auf "Auswählen" und klicken Sie auf das neuere Zertifikat, das Sie gerade installiert haben.
Nachdem Sie es ausgewählt haben, sollten Sie das neuere Ablaufdatum sehen können. Bitte überprüfen Sie auch die "Seriennummer". Klicken Sie auf OK
Klicken Sie im Pop-up-Fenster zur Verwendung des gleichen Zertifikats auf "Ja".
Scrollen Sie ein wenig nach unten und vergewissern Sie sich, dass "Nachrichten digital unterschreiben (als Standard)" markiert ist und dass "Nie (keine Verschlüsselung verwenden)" ausgewählt ist Schliessen Sie das Menü "Konto-Einstellungen".

Öffnen Sie Thunderbird.
Klicken Sie mit der rechten Maustaste auf Ihre Mailbox und wählen Sie "Einstellungen".

Klicken Sie auf “S/MIME-Sicherheit”

Vergewissern Sie sich, dass "Nachrichten digital unterschreiben (als Standard))" nicht markiert ist und dass "Nie (keine Verschlüsselung verwenden" ausgewählt ist.

Sie können das Einstellungsfenster schliessen.

Mobile Geräte

Um das Mailzertifikat auf dem iPhone bzw. iPad zu installieren, muss es auf dem entsprechenden Gerät vorhanden sein. Achtung Sie benötigen zur Installation, das Passwort, welches im Schritt Zertifikat Bestellung angegeben wird! Falls Sie das Zertifikat über einen PC- oder Mac-Client bestellt haben, können Sie es via E-Mail an Ihre eigene Geschäftsadresse auf Ihr Mobilgerät senden, um es im Anschluss dort zu installieren. Öffnen Sie die die zugesendete E-Mail auf Ihrem Mobilgerät und öffnen Sie das im Anhang mitgeschickte E-Mail-Zertifikat.
Fall Sie das E-Mail-Zertifikat direkt auf Ihrem Mobilgerät über einen Webbrowser bestellt und es über diesen Weg herunterladen haben werden Sie gefragt, ob Sie das Konfigurationsprofil laden möchten. Wählen Sie hier Zulassen. Achtung: Um das E-Mail-Zertifikat direkt auf dem Mobilgerät über das PKI-Portal herunterzuladen und zu installieren, muss dieses entweder direkt mit dem ETH-WLAN oder über VPN verbunden sein. Das PKI-Portal ist nur innerhalb des ETH-Netzwerkes erreichbar.
Es erscheint die Meldung, dass Ihr Profil geladen wurde. Bestätigen Sie die Meldung mit Schliessen.
Öffnen Sie die iOS-Einstellungen.
Sie sollten nun die Rubrik «Profil geladen» sehen. Klicken Sie auf diese, um das geladene Profil anzuzeigen.
Klicken Sie nun im Profil auf Installieren, um das E-Mail-Zertifikat auf Ihr Mobilgerät zu installieren. Geben Sie das Zertifikat Passwort ein, welches Sie im PKI Portal erhalten haben. Bestätigen Sie die Eingabe mit Weiter.
Bestätigen Sie die Eingabe mit Ihrem Entsperrcode Ihres Mobilgerätes und stimmen Sie der Installation zu.
Klicken Sie in den iOS-Einstellungen auf Ihrem Mobilgerät auf Mail und im Anschluss auf Accounts.
Wählen Sie aus der Liste der bestehenden Accounts Ihren ETH-Mailaccount aus. Achtung: Der angezeigte Name des Accounts kann unterschiedlich sein (z.B. Exchange, ETH, etc.). Die E-Mail-Adresse selbst ist hier nicht ersichtlich. Klicken Sie den jeweiligen Account an, um zu prüfen, ob es sich um Ihren ETH-Account handelt und Ihre ETH-Mailadresse angezeigt wird.
Klicken Sie beim ETH-Account auf die Stelle, an welcher Ihre ETH E-Mailadresse angezeigt wird. Achtung: Die restlichen Einstellungen können bei Ihnen anders aussehen als auf dem Screenshot. Dies hat keine Relevanz auf die Einrichtung des E-Mail-Zertifikates.
Klicken Sie zu unterst auf Erweiterte Einstellungen und im Anschluss auf Signieren.
Schalten Sie hier das Signieren von E-Mails mit Aktivieren der Option Signieren ein. Ist das E-Mail Zertifikat richtig konfiguriert und ausgewählt, wird dies mit einem blauen Häkchen beim Ihrem Namen angezeigt.
Klicken Sie nun 2x auf Zurück und speichern Sie die gemachten Einstellungen mit Anwählen von Fertig. Erst dann werden alle Einstellungen im ETH E-Mail-Account gespeichert. Sie können nun wieder über das Menü zu den iOS-Einstellungen zurückgehen.
GRATULATION! Sie haben Ihr E-Mail-Zertifikat erfolgreich auf Ihrem Mobilgerät installiert und konfiguriert. Wenn Sie prüfen wollen ob Ihre E-Mails über das Mobiltelefon nun signiert versendet werden, senden Sie eine E-Mail an einen Arbeitskollegen oder an sich selbst. Wenn in der E-Mail in Microsoft Outlook ein Siegel neben Ihrem Absender zu sehen ist, wurde die E-Mail korrekt mit Ihrem E-Mail-Zertifikat signiert. Auf dem Mobilgerät wird dies mit einem Häkchen neben Ihrem Absendernamen vermerkt.

Um Ihr Mailzertifikat zu entfernen klicken Sie in den iOS-Einstellungen auf Ihrem Mobilgerät auf Allgemein und im Anschluss auf Profile.

Wählen Sie das ETH Mailzertifikat aus, welches Sie entfernen wollen.

Wählen Sie Profil entfernen.

GRATULATION!

Sie haben Ihr E-Mail-

Zertifikat erfolgreich von Ihrem Mobilgerät entfernt.

Microsoft Outlook App via App Store installieren und starten
ETH-Mailbox über "Konto hinzufügen" als Exchange Konto in der Outlook App einrichten (E-Mail-Adresse: username@ethz.ch) Di ETH Zürich Authentisierung (MFA) durchführen und Identität bestätigen
Auf einem Rechner (Windows oder Mac) via PKI-Portal.ethz.ch das aktuelle Mail-Zertifikat mit Ziel Betriebssystem "Windows" als pfx-Datei Herunterladen und als Anhang an die persönliche ETH-Mailbox senden. WICHTIG: Das angegebene Passwort im PKI-Portal aufschreiben oder auf dem Rechner das Fenster vom PKI-Portal geöffnet belassen. Das Passwort muss bei der Installation des Mail-Zertifikates in der Outlook App eingegeben werden! Achtung: Es ist nicht notwendig, für die Einrichtung eines Mail-Zertifikates für die Outlook App ein neues Zertifikat zu beziehen. Das bestehende gültige Zertifikat kann jederzeit, inkl. dazu benötigtem Passwort für die Installation, über das PKI-Portal heruntergeladen und installiert werden.
Das E-Mail mit dem Mail-Zertifikat in der Outlook App öffnen und mit Passwort von PKI-Portal installieren
In der Outlook App links im Menü die Einstellungen öffnen
Auf Konten gehen
Auf Microsoft 365 (ETH) klicken
Auf «Sicherheit» -> S/MIME gehen
S/MIME und mind. «Signiert» aktivieren Unter "Zertifikate" werden die Installierten Mail-Zertifikate für die Outlook App angezeigt. Hier kann auch geprüft werden, wie lange das Mail-Zertifikat noch Gültig ist.
GRATULATION! Sie haben Ihr E-Mail-Zertifikat erfolgreich auf Ihrem Mobilgerät in der Outlook App installiert und konfiguriert. Wenn Sie prüfen wollen ob Ihre E-Mails über das Mobiltelefon nun signiert versendet werden, senden Sie eine E-Mail an einen Arbeitskollegen oder an sich selbst. Wenn in der E-Mail in Microsoft Outlook ein Siegel neben Ihrem Absender zu sehen ist, wurde die E-Mail korrekt mit Ihrem E-Mail-Zertifikat signiert. Auf dem Mobilgerät wird dies mit einem Häkchen neben Ihrem Absendernamen vermerkt.

Microsoft Outlook App via Google Play Store installieren und starten
ETH-Mailbox über "Konto hinzufügen" als Exchange Konto in der Outlook App einrichten (E-Mail-Adresse: username@ethz.ch) Di ETH Zürich Authentisierung (MFA) durchführen und Identität bestätigen
Auf einem Rechner (Windows oder Mac) via PKI-Portal.ethz.ch das aktuelle Mail-Zertifikat mit Ziel Betriebssystem "Windows" als pfx-Datei Herunterladen und als Anhang an die persönliche ETH-Mailbox senden. WICHTIG: Das angegebene Passwort im PKI-Portal aufschreiben oder auf dem Rechner das Fenster vom PKI-Portal geöffnet belassen. Das Passwort muss bei der Installation des Mail-Zertifikates in der Outlook App eingegeben werden! Achtung: Es ist nicht notwendig, für die Einrichtung eines Mail-Zertifikates für die Outlook App ein neues Zertifikat zu beziehen. Das bestehende gültige Zertifikat kann jederzeit, inkl. dazu benötigtem Passwort für die Installation, über das PKI-Portal heruntergeladen und installiert werden.
Aus der Mail heraus das Mail-Zertifikat in der Outlook-App öffnen
Mit Passwort von PKI-Portal installieren
VPN- oder App-Zertifikat
Wenn mehrere Zertifikate zur Auswahl angeboten werden, das vorher installierte auswählen (Erkennbar am Namen, der identisch ist zum Filenamen des Download)
In der Outlook App Einstellungen öffnen
Auf Konten gehen
Auf Microsoft 365 (ETH) klicken
Auf S/MIME gehen
S/MIME und mind. «Signiert» aktivieren Unter "Zertifikate" werden die Installierten Mail-Zertifikate für die Outlook App angezeigt. Hier kann auch geprüft werden, wie lange das Mail-Zertifikat noch Gültig ist.
GRATULATION! Sie haben Ihr E-Mail-Zertifikat erfolgreich auf Ihrem Mobilgerät in der Outlook App installiert und konfiguriert. Wenn Sie prüfen wollen ob Ihre E-Mails über das Mobiltelefon nun signiert versendet werden, senden Sie eine E-Mail an einen Arbeitskollegen oder an sich selbst. Wenn in der E-Mail in Microsoft Outlook ein Siegel neben Ihrem Absender zu sehen ist, wurde die E-Mail korrekt mit Ihrem E-Mail-Zertifikat signiert. Auf dem Mobilgerät wird dies mit einem Häkchen neben Ihrem Absendernamen vermerkt.

Space shortcuts

Page tree

FAQ