FAQ für Administrator:innen

Dies ist eine Liste häufig gestellter Fragen aus Administrator:innen - Sicht. Wir haben darüber hinaus FAQs für Fragen von Benutzer:innen erstellt.

Zertifikate / Public keys

Welchen S/MIME-Zertifikaten vertraut GnuPG VS-Desktop und wie fügt man weitere Wurzelzertifikate hinzu?

GnuPG VS-Desktop hat ein eigenes Verzeichnis und Einstellungen für global akzeptierte X.509 Zertifikate, da gemäß der Zulassung nur Zertifikate einer PKI, die den Anforderungen der BSI TR-03145 Secure CA operation gerecht wird, für VS-NfD verwendet werden dürfen.

Wir liefern eine Konfiguration aus, bei der einige gängige zugelassene Zertifizierungsstellen enthalten sind, z.B. die PCA-1-Verwaltung.

Wie Sie weitere Zertifizierungsstellen hinzufügen können, entnehmen Sie bitte der Beschreibung "Hinzufügen neuer Wurzel Zertifikate".

Ein Zertifikat wird trotz Vertrauen in dessen Root-CA nicht als gültig angezeigt

Sie haben einem Root CA vertraut, trotzdem wird einer davon abgeleitete Zwischen-CA nicht vertraut. Dies tritt i.d.R. auf, wenn die CRL (Certificate Revokation List) eines Zertifikats nicht abgerufen werden kann. Dies wäre bei Offline-Systemen der Fall, aber auch bei Systemen mit starker Filterung bzw. einem Proxy.

Zur Fehleranalyse können Sie in der Eingabeaufforderung aufrufen:

gpgsm --with-validation -k "Zertifikatsname"

Dann wird eine Fehlerursache benannt.

Falls ihr Netzwerkzugang über ein Proxy erfolgt, müssen Sie dieses in den Registry Einstellungen für GnuPG VS-Desktop konfigurieren, siehe see S/MIME proxy Configuration.

Falls Sie GnuPG VS-Desktop auf einem Offline-System betreiben und S/MIME Zertifikate verwenden wollen, müssen Sie in den Einstellungen von Kleopatra unter "S/MIME - Prüfung" die Option "Nie Sperrlisten zu Rate ziehen" aktivieren. Damit dies VS-NfD konform ist, müssen sie die Sperrlistenprüfung dann regelmäßig auf einem anderen Rechner mit Onlinezugang vornehmen.

Sonstiges

Welche Einstellungen sind durch die Nutzer änderbar?

Unter %ProgramData%\GNU\etc\gnupg\dirmngr.conf werden bei der Installation Konfigurationstemplates abgelegt. Diese werden über die Registry angepasst. In den Templates sind Optionen einer Gruppe mit [force] markiert oder nicht. Die [force] Markierung bewirkt, dass diese Optionen nicht vom Nutzer geändert werden können. Sie sind in der Kleopatra Konfiguration ausgegraut, falls überhaupt angezeigt.

Die Optionen, die ein Nutzer in der Default-Konfiguration ändern kann, haben wir auf der Seite "Verbose Description of VSD Registry Settings" mit OPTION[user] markiert.

LDAP und GnuPG - Einrichtung und Nutzung

GnuPG und die GnuPG Desktop Varianten unterstützt die Nutzung von LDAP Verzeichnissen mit einem OpenPGP Schema zur Suche von Zertifikaten. Dies ermöglicht eine sehr benutzerfreundliche Verteilung von Zertifikaten in einer Organisation.

In den folgenden Dokumenten finden Sie Hinweise zur Einrichtung und Nutzung eine LDAP Verzeichnisses mit GnuPG: