persönliches Zertifikat für E-Mail - wenn der private Schlüssel nicht mehr passt

-
    

 Zum Ausprobieren hab ich mir bei der PSW Group ein Zertifikat für die wolfgang@grafeneder.at besorgt. Brav alles mit dokumentiert und Wochen später erst mal dazu gekommen, es in Thunderbird auszurprobieren. Siehe da: das notierte Passwort für den privaten Schlüssel passt nicht. F***!

Ein nochmaliges exportieren ging nicht:

Eine kurze DuckDuckGo Suche später hier der Tipp: https://www.der-windows-papst.de/2020/12/27/zertifikat-exportieren-obwohl-es-als-nicht-exportierbar-gekennzeichnet-ist/: es sollte mit dem Tool mimikatz funktionieren. Mit dem Namen musste ich das Tool natürlich ausprobieren.

Also:

  1. Tool von Github runterladen: mimikatz_trunk.zip
    (Interessant dabei: Github wird als böse eingestuft:
  2. Vor dem Entpacken, gleich mal den AV abschalten, denn sonst:
  3. Das Tool dann mit Admin-Rechten starten und folgende Befehle eingeben:

    privilege::debug
     crypto::cng
     crypto::capi

    crypto::certificates /systemstore:local_machine /store:my /export

  4. Damit das funktioniert muss man aber die Dateien bcrypt.lib und cryptdll.lib ins Verzeichnis ..\mimikatz_trunk\lib\x64 runter laden.
  5. Die Zertifikate sollten dann im Programmverzeichnis von mimikatz auftauchen und als PW mimikatz haben.


  6. Das war aber wieder nur die Halbe Miete, denn man hat die Zertifikate des lokalen Computerkontos exportiert. Für die Benutzer-Konten muss es
    crypto::certificates /systemstore:local_machine /store:my /export heißen. Den entscheidenden Hinweis hab ich mit crypto::certificates bekommen.
  7. Jetzt war der persönliche Schlüssel für das gesuchte Zertifikat im Programmordner von mimikatz zu finden und mit dem Passwort mimikatz versehen.

Das Mimikatz-Tool ist aber noch nicht ganz mein Freund, denn beim Dokumentieren ging das Crypto-Modul wieder nicht. Hmpf.

Das Mimikatz kann noch sehr viel mehr, vieles hier zu finden: https://adsecurity.org/?page_id=1821.

Im Thunderbird konnte das Zertifikat nun importiert werden und damit signierte Mails versandt werden. In GMail kommt recht unscheinbar das "Bestätigte E-Mail-Adresse":

 

In Outlook sieht man das nette Siegel:


Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

Fronius Gen 24 in Loxone eingebunden

-
Bild
 Es dauert, bis man sich wieder in das Loxone-Programmieren einfindet. Aber nach viel lesen, dem einen oder anderen Youtube Video und etwas (ok, ganz schon viel) herumprobiern funktionierts. Folgende Schritte braucht man: Fronis muss die API aktiviert sein (Webinterface\Kommunikation\Solar-API) Im Loxone Config die Fronius Bausteine einfügen (mit F5 nach "Fronius" suchen und die 3 Bausteine einfügen: Fronius Symo Gen24. Da den API-String http://<IP-Wechselrichter>/solar_api/v1/GetPowerFlowRealtimeData.fcgi einfügen. Fronius Smart Meter. Hier ist die API http://<IP-Wechselrichter>/solar_api/v1/GetMeterRealtimeData.cgi?Scope=System Fronius Battery. Da die API http://<IP-Wechselrichter>/solar_api/v1/GetStorageRealtimeData.cgi Schaut dann in etwa so aus. Gebraucht hab ich dann allerdings nur die Werte vom "Fronius Symo Gen24" Die einzelnen Werte sogenannten Zählern zuführen: Dann den "Energieflussmonitor" (nicht den "Energiemonitor"...
Mehr anzeigen