S/MIME mit Windows Phone 8.1

UPDATE: Die unten stehende Anleitung geht leider nur mit Exchange Konten welche EAS (Exchange Active Sync) nutzen. Normale IMAP-Konten oder andere gehen nicht.
Eines der lang erwarteten neuen Features von Windows Phone ist für ernsthafte Anwender vielleicht die Unterstützung von verschlüsselten Mails. In der Windows-Welt passiert das meist per S/MIME. Eine mehr „nutzbarer“ und alter Standard für die Verschlüsselung und Signierung von Mails. Nahezu jedes Mailprogramm kann damit umgehen. Auf mobilen Betriebssystemen ist das allerdings nicht so. Konnte man fast sagen, iOS kann es schon immer. Nun kann es Windows auch. Android kann es nur sehr selten, das normale Mailprogramm kann es nicht, GMail nicht, es gibt einige Zusatzprogramme und einige Mailprogramme können es. Das von Sony im Xperia zum Beispiel kann mit solchen Mails und Zertifikaten umgehen.

Ich setze S/MIME seit längerem ein, also freute ich mich entsprechend, dass ich verschlüsselte Mails nun auch am Telefon lesen und schreiben kann. Kurze Suche im Interweg ergab allerdings nur Fragen in Foren und eine halbseidene Auskunft, das die Zertifikate irgendwie aus dem Exchange kommen müssten. Also gar nicht mal eben so, sondern nur kompliziert. Es gibt auch nicht wirklich Einstellungen dazu. Ich forschte selbst und wählte einen Weg, der zu einfach schien als das er funktionierten könnte. Doch er funktionierte! Hier also nun die Anleitung, wie man S/MIME in Windows Phone 8.1 (Developer Preview) aktiviert und zum Laufen bringt.

Zuerst braucht man mal ein eMail-Zertifikat. Wie man das bekommt und was damit alles zusammen hängt ist ein anderes Thema. Ich besorgte mir das Zertifikat bei StartSSL. Kostenlos und bisher hab ich gute Erfahrungen gemacht mit der Zertifizierungsstelle. Dort bekommt man neben dem S/MIME Zertifikat auch kostenfreie Zertifikate für Webseiten. Was echt cool ist, wenn man nur seinen WordPress-Blog am Backend mit SSL sichern will. Gehen wir davon aus, dass es das Zertifikat im Zertifikatsspeicher von Windows oder Mac OS schon gibt. Dann muss man es exportieren. Als PKCS#12 mit dem privaten Schlüssel. Das geht unter Windows aus der Zertifikatsverwaltung. Dort findet man das eigene Zertifikat unter eigene Zertifikate. Man klickt das gesuchte Zertifikat an, wählt unter alle Aufgaben „Exportieren“ aus. Privater Schlüssel mit, dann PKCS#12. Ein Passwort drauf und erhält eine zertifkat.pfx oder zertifikat.p12 Datei.smim_ex

Diese Datei schickt man sich nun selbst per Mail oder besser überträgt sie in das OneDrive. Vorsicht ist geboten. Die Datei enthält eben den privaten Schlüssel und den öffentlichen. Sie ist nur mit dem Passwort gesichert. Jeder der das Passwort hat und die Datei könnte Daten entschlüsselt und sich als anderer Nutzer ausgeben! Zudem dient das Zertifikat bei StartSSL als Authentifizierung. Leichtfertig umher kopieren und schwaches Passwort sollte man daher vermeiden. Wenn das Zertifikat unterwegs zum Phone ist, nimmt man das nun zur Hand.

Dort klickt man in der Mail oder im OneDrive die .p12 oder .pfx Datei an. Es erscheint ein Dialog, der das Passwort anfordert. Tippt man das ein, sagt das Telefon, dass man nun einen Schlüssel und ein Zertifikat im Telefon habe. Ich fand bisher keine App oder Einstellung, die die Zertifikate anzeigt oder verwalten lässt. Das war es auch schon, nun noch S/MIME im Mail-Konto aktivieren und fertig. Und so schaut es dann aus:

Einstellungen am Mailkonto
Einstellungen am Mailkonto
Verschlüsslte und signierte Mails im Posteingang
Verschlüsslte und signierte Mails im Posteingang
Signierte und verschlüsselte Mail geöffnet
Signierte und verschlüsselte Mail geöffnet
Eigene Mail die verschlüsselt und signiert wird
Eigene Mail die verschlüsselt und signiert wird

So schaut das dann aus. Da man Mails nur verschlüsseln kann, wenn man das öffentliche Zertifikat des Gegenübers hat, muss man dessen öffentliches Zertifikat importieren. Das geht aus einer signierten Mail heraus. Dann werden Mails an den Kontakt immer verschlüsselt gesendet. Alle Mails werden signiert und das eigene öffentliche Zertifikat wird an gehangen. Recht einfach, aber noch nicht so sehr bekannt wie es scheint.

  • Beim outlook Konto, bzw dem angelegten Microsoft Konto geht das nicht. (8.1beta). Ich habe unter erweitert gar nicht die Auswahlmöglichkeit.

    Gruß,

    Loshengstos

    • Es gibt ja nun die Final für das 925. Unter „weitere Informationen“ kann man lesen, das funktioniert nur mit Exchange Konten. Sogenannte EAS-Konten :(
      Blöd von MS das so zu lösen. Verschlüsselung ist ja unabhängig vom Server.

      • Maik

        Haha, das ist sehr milde ausgedrückt. Egal, welches lang ersehnte Feature MS implantiert (Ich besitze das WP seit etwas über einem jahr und werde permanent entteuscht, was alles nicht geht. So richtig simple Funktionen, wo IOS, Android und selbst WM6.5!!!!! ohne Priobleme das tun was sie sollen.
        VPN: beschissen umgesetzt. Vor allem, weil MS ja mit dem SP1 im Server2008R2 das IKEv2 kaputt gepatcht hat. Andere Möglichkeiten gibt es nicht. SSTP geht nur mit spezifischen Routern per App…..

        Mailverschlüsselung: BESCHISSEN umgesetzt. Um nicht zu sagen gar nicht für normale Konten. Auch bei EAS anderer Anbieter (Kerio, Tobit David, etc.) funktioniert es NICHT..
        CALDAV/CARDDAV: BESCHISSEN umgesetzt. Um nicht zu sagen gar nicht, wenn kan Google nicht nutzen will.

        Dieses drecks System ist für alles, was mit Synchronisation von persönlichen Cloud Services, im kleinen Geschäftsumfeld oder auch wenn es einem um Datenschutz geht völlig ungeeignet. Da kann man sagen „Ist ja noch jung“, aber nicht mehr nach DER Wartezeit. Ich bin maßlos entteuscht und werde mir kein neues WP8 mehr anschaffen, auch wenn ich die Handhabung und Optik und an sich sehr gerne mag.

        Man kann sagen: Mit Absicht schlecht gemacht. So stellt sich die Implementierung immer dar. Am geilsten ist aber, dass die nicht vorhandenen oder nicht nutzbaren Features vorher ohne Einschränkungen angekündigt werden, um die sehnlichst wartenden Kunden dann richtig derbe zu entteuschen. Ich hoffe der Dreck wird mal offener gestaltet oder fliegt vom Markt……

        MfG Maik

  • Pingback: ()

  • Massis

    Hi,

    I’ve found your useful article when trying to use S/MIME on my Lumia 1020 sporting WP8.1/GDR1 (thanks to google translate !)

    So I’ve generated my certificates (I’ve tested StartSSL and Comodo), imported them, I can see them in the „manually“ drop-down list BUT:
    a) I can’t sign
    b) I can’t encrypt (as a consequence)

    I don’t even see the attached signature when I try to send an email from my PC to my outlook.com account.

    Am I missing something ? Did you have to wait a couple of hours to get it work? I ask this because the StartSSL certificate takes time to be recognised in Thunderbird for instance (1-2 hours).

    Anyway, both certificates seem to work fine on my Surface 2, in Thunderbird (Linux), but no way to get it work on my WP, even if it’s an live.fr/outlook account.

    Thank you for your help (10 month after your publishing this article…)

    • Agent X

      S/MIME on OS windows phone 8.1 is only for MS Exchange accounts!