• Starten Sie den Manager für die Internetdienste (IIS7) auf dem Server auf dem das Zertifikat importiert werden soll. Wählen Sie nun den Server selbst aus, damit sie im mittleren Abschnitt die "Serverzertifikate“ auswählen und per Doppelklick oder "Open Feature“ aktivieren können.
  
  
  
  Klicken Sie im Bereich Aktionen auf Importieren.
  
  
   
• Geben Sie anschließend im Feld Zertifikatdatei einen Dateinamen ein, oder klicken Sie auf die Schaltfläche zum Durchsuchen, um zu der Datei zu navigieren, in der das Zertifikat gespeichert ist.
   
• Als nächstes geben Sie das Ihnen mitgeteilte Passwort ein.
   
• Sie können als letztes noch entscheiden, ob Sie von diesem Server auch einen Export des Zertifikates erlauben möchten, oder das Zertifikat nur gespeichert wird.
  
  
   
• Wenn Sie die Eingaben nun bestätigen, erscheint das Zertifikat unter den Serverzertifikaten Ihres Servers.
  
  

Um das Root und / oder Intermediate Zertifikat einzuspielen, müssen Sie die Console (mmc.exe) öffnen.

Danach wählen Sie unter File das „Add/Remove Snap-In“ aus.

Anschließend wählen Sie das certificate-Snap-In aus.

Dieses muss für Ihren Computer-Account gewählt werden.

Zuletzt geben Sie noch Ihren lokalen PC an.

Anschließend sehen Sie das Snap-In unter den ausgewählten Snap-Ins. Bestätigen Sie jetzt mit "OK".

Wenn sich das Snap-In öffnet, fügen Sie das Root-Zertifikat zu den Trusted Root Certification Authorities hinzu, indem Sie unter „All Tasks“ den "Import" auswählen.

Im folgenden Wizard wählen Sie, falls nicht bereits eingetragen, "Local Machine" aus. 

Geben Sie im nächsten Schritt den Speicherort des root-Zertifikats an.

Als nächstes müssen Sie festlegen, wohin das Zertifikat gespeichert werden soll. Wenn die Angaben den unten angezeigten entsprechen, können Sie hier weiter klicken.

Das nächste Fenster zeigt Ihnen nochmals die Übersicht über Ihre Eingaben. Wenn Sie diese korrekt gemacht haben, können Sie dies bestätigen.

Wenn der Import erfolgreich war, sollten Sie zum Abschluss diese Meldung erhalten.

Folgen Sie erneut der Anleitung mit dem Unterschied, dass Sie beim Import des Intermediate-Zertifikats den Pfad "Intermediate Certification Authorities" auswählen.

Zum Abschluss sollte die Zusammenfassung wie im nächsten Bild aussehen.

Wenn der Import erfolgreich war, sollten SIe zum Abschluß diese Meldung erhalten.

Starten Sie dazu den Manager für die Internetdienste (IIS7). Wählen Sie nun auf der linken Seite „Sites“ aus.
Im nächsten Schritt muss das Zertifikat noch für die gewünschten Web-Seiten ausgerollt werden. Hierzu wählen Sie die gewünschte Web-Seite aus und klicken Sie auf „Bindings“ auf der rechten Seite.

Falls es noch keine https(443) Bindung gibt, können Sie diese hinzufügen, falls Sie bereits besteht, wählen Sie anstelle von „Add“ „Edit“ aus.

Geben Sie nun für die gewünschte Seite das neue Zertifikat an.

• Starten Sie dazu den Manager für die Internetdienste (IIS7) auf dem Server von dem das Zertifikat exportiert werden soll. Wählen Sie nun den Server selbst aus, damit sie im mittleren Abschnitt die „Server Zertifikate“ auswählen und per Doppelklick oder „Open Feature“ aktivieren können.
  
  
   
• Danach ändert sich das Bild, so dass in der Mitte nun alle Zertifikate aufgelistet werden, die für einen Betrieb mit dem Webserver verwendbar sind.
  Klicken Sie auf das Zertifikat, welches Sie exportieren möchten und klicken Sie im Bereich Aktionen auf Exportieren.
  
  
   
• Im folgenden Dialogfeld geben Sie den Pfad an, wohin Sie das exportierte Zertifikat speichern möchten und anschließend müssen Sie hierfür noch ein Kennwort vergeben. Dieses wird bei jedem Import auf einem anderen Server benötigt.
  
  
   
• Übertragen Sie das Zertifikat nun auf den anderen Server.
   
• Starten Sie den Manager für die Internetdienste (IIS7) auf dem Server auf dem das Zertifikat importiert werden soll. Wählen Sie nun den Server selbst aus, damit sie im mittleren Abschnitt die „Serverzertifikate“ auswählen und per Doppelklick oder „Open Feature“ aktivieren können.
  
  
   
• Klicken Sie im Bereich Aktionen auf Importieren. 
  
  
   
• Geben Sie anschließend im Feld Zertifikatdatei einen Dateinamen ein, oder klicken Sie auf die Schaltfläche zum Durchsuchen, um zu der Datei zu navigieren, in der das exportierte Zertifikat gespeichert ist.
   
• Als nächstes geben Sie noch das davor erstellte Passwort ein.
   
• Sie können als letztes noch entscheiden, ob Sie von diesem Server auch einen Export des Zertifikates erlauben möchten, oder das Zertifikat nur gespeichert wird.
  
  
   
• Wenn Sie die Eingaben nun bestätigen, erscheint das Zertifikat unter den Serverzertifikaten Ihres Servers.

Starten Sie dazu den Manager für die Internetdienste (IIS7). Wählen Sie nun den Server selbst aus, damit sie im mittleren Abschnitt die „Serverzertifikate“ auswählen und per Doppelklick oder „Open Feature“ aktivieren können.

Danach ändert sich das Bild, so dass in der Mitte nun alle Zertifikate aufgelistet werden, die für einen Betrieb mit dem Webserver verwendbar sind. Am rechten Rand erscheinen nun die Menüs zum Erstellen einer Anforderung und die Verarbeitung einer Antwort der Zertifizierungsstelle.
Klicken Sie hier auf „Create Certificate Request“.

Tragen Sie nun alle benötigten Informationen ein:

Wichtig ist hier der „Gemeinsame Name“, welcher identisch zum DNS-Namen der Webserveradresse sein muss (z.B. yourdomain.com). Die Clients prüfen den im Browser eingegebenen Namen mit diesem Wert und eine fehlende Übereinstimmung ergibt eine unschöne Warnung.

Das nächste Fenster fordert zur Auswahl eines Anbieters und der Schlüssellänge auf. Der Anbieter sollte beibehalten werden (Microsoft RSA SChanel Cryptographic Provider).

Die Schlüssellänge stellen Sie bitte auf 2048.

Zuletzt werden Sie noch aufgefordert, die Datei zu speichern. Wählen Sie hier einen Pfad aus. Die Textdatei müssen Sie anschließend an uns weiterleiten, damit das Zertifikat beantragt werden kann.

Beachten Sie:
Die soeben geschriebene Datei können Sie sich mit einem Texteditor ihrer Wahl anzeigen lassen. Hier ist NICHT ihr privater Schlüssel enthalten sondern nur die von ihnen gemachten Angaben zum Namen, Ort, etc. und natürlich der öffentliche Schlüssel. Der private Schlüssel bleibt auf ihrem Computer.

Beachten Sie:

Sie sollten bevor Sie das Zertifikat vervollständigen, das root und intermediate Zertifikat installiert haben.
 

Um die Zertifikatsanforderung zu vervollständigen, gehen Sie im IIS auf den Server, wählen Sie im mittleren Abschnitt die "Serverzertifikate“ aus und aktivieren Sie diese per Doppelklick oder „Feature öffnen“.

Wählen Sie "Complete Certificate Request“ auf der rechten Seite aus.

Hier geben Sie den Pfad an, wo sich die Ihnen zugesendete Datei befindet. Zusätzlich geben Sie dem Zertifikat noch einen Namen, damit Sie es von den anderen unterscheiden können und bestätigen Sie mit "OK".

Anschließend können Sie das Zertifikat im IIS unter "certificates" einsehen.

Sie haben von uns Ihr Zertifikat als PFX-Datei mit dem dazugehörigen Passwort erhalten und möchten dies nun auf Ihrem PC hinterlegen um in Outlook eine Mail signiert zu versenden.

• Hierzu können Sie die Internetoptionen entweder über die Suchfunktion öffnen
  
  
  
  oder im Internet Explorer über das Zahnradsymbol.
  
  
   
• Im nächsten Schritt wählen Sie die "Inhalte"(1) aus und klicken Sie auf die "Zertifikate"(2)
  
  
   
• Drücken SIe auf "Importieren...".
  
  
   
• Die Willkommensseite können Sie mit "Weiter" überspringen. Im nächsten Fenster wählen Sie "Durchsuchen..." aus.
  
  
   
• Gehen Sie nun in den Pfad, unter dem Sie hr Zertifikat abgelegt haben und "Öffnen" Sie die PFX-Datei.
  
  
   
• Damit das Zertifikat hinterlegt werden kann, müssen Sie jetzt Ihr Kennwort eintragen. Falls Sie vorhaben, das Zertifikat irgendwann wieder für einen anderen PC zu exportieren, können Sie den Haken setzen bei "Schlüssel exportierbar machen".
  
  
   
• Als nächstes können SIe auswählen, wohin Ihr Zertifikat gespeichert werden soll. Ihr E-Mailzertifikat wird immer unter den eigenen Zertifikaten gespeichert. Sie können dies mit der "Durchsuchen..."-Funktion angeben oder auch den Zertifikatsspeicher automatisch wählen lassen.
  
  
   
• Anschließend können Sie den Import "Fertig stellen".
  
  
   
• Sie erhalten zum Abschluß die Meldung, dass der Import erfolgreich war.
  
  
   
• Nachdem das Zertifikat erfolgreich importiert wurde, sehen Sie das Zertifikat in Ihrer Zertifikatsübersicht.
  
  
   
• Wenn Sie nun im Outlook eine neue Mail versenden wollen, können Sie über den Reiter "Optionen" die Mail signieren.
  
  

Damit Sie nicht jede Mail einzeln signieren müssen, können SIe im Outlook festlegen, dass alle Ihre gesendeten Mails signiert werden.

• Klicken Sie hierzu auf den Reiter "Datei".
  
  
   
• Wählen Sie im nächsten Schritt die "Optionen" aus.
  
  
   
• Unter dem "Trust Center" können Sie die Einstellungen auswählen.
  
  
   
• Setzen Sie nun den Haken unter der "E-Mail-Sicherheit" für "Ausgehenden Nachrichten digitale Signatur hinzufügen" und bestätigen Sie dies mit "OK".
  
  
   
• Sobald Sie jetzt eine Mail versenden möchten, wird Ihre Mail automatisch signiert.

Um eine Mail signiert zu versenden, muss ihr Zertifikat auf dem PC installiert sein.

• Melden Sie sich nun an der Outlook Web App an.
  
  
   
• Öffnen Sie eine neue Mail.
  
  
   
• Wählen Sie "Nachrichtenoptionen anzeigen..." unter dem Menü aus.
  
  
   
• Wählen Sie "Diese Nachricht digital signieren" aus.
  
  
   
• Als nächstes erhalten Sie eine Fehlermeldung, falls Sie noch nie zuvor auf diesem PC das S/MIME Steuerelement installiert haben. Wählen Sie in diesem Fall "Klicken Sie hier" aus.
  
  
   
• Führen Sie die Datei anschließend aus, die Ihnen angezeigt wird.
  
  
   
• Sie erhalten die Meldung, dass das Steuerelement erfolgreich installiert wurde.
  
  
   
• Melden Sie sich von Ihrem Outlook Web App ab.
  
  
   
• Wenn Sie sich nun erneut anmelden und eine neue Mail versenden möchten, klicken Sie erneut auf "Neue E-Mail".
  
  
   
• Unter den Optionen wählen Sie die "Nachrichtenoptionen" anzeigen...." aus.
  
  
   
• Setzen Sie den Haken bei "DIese Nachricht digital signieren".
  
  
   
• Es wird Ihnen nun das rote Symbol am rechten Rand angezeigt, welches Ihnen sagt, dass Ihre Mail signiert ist.
  
  
   

Damit Sie nicht jede Mail einzeln signieren müssen, können SIe in der Outlook Web App festlegen, dass alle Ihre gesendeten Mails signiert werden.
 

• Melden Sie sich an der Outlook Web App an.
  
  
   
• Gehen Sie unter dem Zahnradsymbol auf die "S/MIME-Einstellungen".
  
  
   
• Setzen Sie den Haken bei "Allen von mir gesendeten Nachrichten...." und bestätigen Sie mit "OK".
  
  
   
• Anschließend werden alle Mails, die SIe versenden möchten signiert.

Methode 1 - Registry

Navigiere je nach Browser zu folgendem Pfad:

Microsoft Edge:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Edge\ExtensionInstallForcelist

Google Chrome:

HKEY_CURRENT_USER\Software\Policies\Google\Chrome\ExtensionInstallForcelist

Erstelle dann einen Registry-Key mit folgenden Eckdaten:

maafgiompdekodanheihhgilkjchcakm;https://exchange.cloud4you.biz/owa/SmimeCrxUpdate.ashx

maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx

Alternativ kann man die Registry-Keys auch herunterladen: [cloud4you S/MIME] | [M365 S/MIME] - Wenn blockiert, dann Link kopieren und in neuem Tab einfügen.

Methode 2 - GPO

Hole dir je nach Browser die korrekten Richtlinienvorlagen und navigiere in den entsprechenden Pfad:

Microsoft Edge: 

[Downloadlink]

Pfad: User Configuration ►Administrative Templates ►Microsoft Edge ►Extensions ►Control which extensions are installed silently

Google Chrome:

[Downloadlink]

Pfad: User Configuration ► Administrative Templates ►Google ►Google Chrome ►Extensions ►Configure the list of force-installed apps and extensions

Aktiviere die jeweilige Richtlinie und setze den Wert je nach gebuchtem Produkt:

cloud4you Hosted Exchange:

maafgiompdekodanheihhgilkjchcakm;https://exchange.cloud4you.biz/owa/SmimeCrxUpdate.ashx

M365:

maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx