S/MIME mit Windows Phone 8.1

UPDATE: Die unten stehende Anleitung geht leider nur mit Exchange Konten welche EAS (Exchange Active Sync) nutzen. Normale IMAP-Konten oder andere gehen nicht.
Eines der lang erwarteten neuen Features von Windows Phone ist für ernsthafte Anwender vielleicht die Unterstützung von verschlüsselten Mails. In der Windows-Welt passiert das meist per S/MIME. Eine mehr „nutzbarer“ und alter Standard für die Verschlüsselung und Signierung von Mails. Nahezu jedes Mailprogramm kann damit umgehen. Auf mobilen Betriebssystemen ist das allerdings nicht so. Konnte man fast sagen, iOS kann es schon immer. Nun kann es Windows auch. Android kann es nur sehr selten, das normale Mailprogramm kann es nicht, GMail nicht, es gibt einige Zusatzprogramme und einige Mailprogramme können es. Das von Sony im Xperia zum Beispiel kann mit solchen Mails und Zertifikaten umgehen.

Ich setze S/MIME seit längerem ein, also freute ich mich entsprechend, dass ich verschlüsselte Mails nun auch am Telefon lesen und schreiben kann. Kurze Suche im Interweg ergab allerdings nur Fragen in Foren und eine halbseidene Auskunft, das die Zertifikate irgendwie aus dem Exchange kommen müssten. Also gar nicht mal eben so, sondern nur kompliziert. Es gibt auch nicht wirklich Einstellungen dazu. Ich forschte selbst und wählte einen Weg, der zu einfach schien als das er funktionierten könnte. Doch er funktionierte! Hier also nun die Anleitung, wie man S/MIME in Windows Phone 8.1 (Developer Preview) aktiviert und zum Laufen bringt.

Zuerst braucht man mal ein eMail-Zertifikat. Wie man das bekommt und was damit alles zusammen hängt ist ein anderes Thema. Ich besorgte mir das Zertifikat bei StartSSL. Kostenlos und bisher hab ich gute Erfahrungen gemacht mit der Zertifizierungsstelle. Dort bekommt man neben dem S/MIME Zertifikat auch kostenfreie Zertifikate für Webseiten. Was echt cool ist, wenn man nur seinen WordPress-Blog am Backend mit SSL sichern will. Gehen wir davon aus, dass es das Zertifikat im Zertifikatsspeicher von Windows oder Mac OS schon gibt. Dann muss man es exportieren. Als PKCS#12 mit dem privaten Schlüssel. Das geht unter Windows aus der Zertifikatsverwaltung. Dort findet man das eigene Zertifikat unter eigene Zertifikate. Man klickt das gesuchte Zertifikat an, wählt unter alle Aufgaben „Exportieren“ aus. Privater Schlüssel mit, dann PKCS#12. Ein Passwort drauf und erhält eine zertifkat.pfx oder zertifikat.p12 Datei.smim_ex

Diese Datei schickt man sich nun selbst per Mail oder besser überträgt sie in das OneDrive. Vorsicht ist geboten. Die Datei enthält eben den privaten Schlüssel und den öffentlichen. Sie ist nur mit dem Passwort gesichert. Jeder der das Passwort hat und die Datei könnte Daten entschlüsselt und sich als anderer Nutzer ausgeben! Zudem dient das Zertifikat bei StartSSL als Authentifizierung. Leichtfertig umher kopieren und schwaches Passwort sollte man daher vermeiden. Wenn das Zertifikat unterwegs zum Phone ist, nimmt man das nun zur Hand.

Dort klickt man in der Mail oder im OneDrive die .p12 oder .pfx Datei an. Es erscheint ein Dialog, der das Passwort anfordert. Tippt man das ein, sagt das Telefon, dass man nun einen Schlüssel und ein Zertifikat im Telefon habe. Ich fand bisher keine App oder Einstellung, die die Zertifikate anzeigt oder verwalten lässt. Das war es auch schon, nun noch S/MIME im Mail-Konto aktivieren und fertig. Und so schaut es dann aus:

Einstellungen am Mailkonto
Einstellungen am Mailkonto
Verschlüsslte und signierte Mails im Posteingang
Verschlüsslte und signierte Mails im Posteingang
Signierte und verschlüsselte Mail geöffnet
Signierte und verschlüsselte Mail geöffnet
Eigene Mail die verschlüsselt und signiert wird
Eigene Mail die verschlüsselt und signiert wird

So schaut das dann aus. Da man Mails nur verschlüsseln kann, wenn man das öffentliche Zertifikat des Gegenübers hat, muss man dessen öffentliches Zertifikat importieren. Das geht aus einer signierten Mail heraus. Dann werden Mails an den Kontakt immer verschlüsselt gesendet. Alle Mails werden signiert und das eigene öffentliche Zertifikat wird an gehangen. Recht einfach, aber noch nicht so sehr bekannt wie es scheint.