Hinzufügen neuer Wurzel Zertifikate
Die Installation von Wurzelzertifikaten für S/MIME (X.509) ist bei GnuPG VS-Desktop® und GnuPG Desktop® zweigeteilt:
- Installation des Zertifikats
- Einstellung des Vertrauens
Im Folgenden beschreiben wir, welche Möglichkeiten es hierbei gibt.
Installation der Wurzelzertifikate
Neue X.509 Wurzelzertifikate können über die normale Import Funktion importiert werden. Endzertifikate under Zwischenzertifikate können auch Information enthalten, anhand derer GnuPG VS-Desktop die Zertifikate automatisch herunterlädt und importiert.
Derartig importierte Zertifikate werden aber spezifisch für jede Benutzerin abgespeichert. Insbesondere im Hinblick auf die noch notwendige Einstellung des Vertrauens (s.u.), ist es oft sinnvoll, diese Zertifikate vorab und global zu installieren. Kopieren Sie die Zertifikate als einzelne Dateien nach
%ALLUSERSPROFILE%\GNU\etc\gnupg\trusted-certs\
Die Dateien müssen DER encoded sein (binär) mit einer Dateiendung von ".der" oder ".cer". Bitte beachten Sie, daß diesen Dateien für TLS Zwecke (Remote Zugriffe wie CRLs und OCSP) direkt vertraut wird. Diesem Wurzelzertifikaten wird aber für Datei und Mailverschlüsslung nicht direkt vertraut. Alternativ können Wurzelzertifikate auch nach
%ALLUSERSPROFILE%\GNU\etc\gnupg\extra-certs\
gespeichert werden. Dies wird normalerweise für Zwischenzertifikate verwendet. Es ist aber auch möglich Wurzelzertifikate dort zu speichern, sofern diese nur für Mail und und Dateiverschlüsselung benutzt werden sollen. Wir empfehlen dies aber nicht, da von Ihnen installierte Wurzelzertifikate praktisch immer auch für OCSP und CRL benötigt werden.
Wenn Sie eine neue Version von GnuPG VS-Desktop installieren, so werden die von Ihnen installierten Zertifikate nicht überschrieben. Das Speichern eines Zertifikats unter mehreren Dateinamen schadet übrigens nicht.
Einstellen des Vertrauens
Das Vertrauen in Wurzelzertifikate wird durch die Konfigurationsdatei trustlist.txt bestimmt. Diese wird von GnuPG VS-Desktop als
%ALLUSERSPROFILE%\GNU\etc\gnupg\trustlist.txt
installiert 1. Die Benutzerin könnte zusätzlich eine eigene trustlist.txt unter
%APPDATA%\gnupg\trustlist.txt
anlegen 2. Allerdings sind
die GUI Elemente hierfür nicht aktiv und können vom Benutzer auch
nicht aktiviert werden. Dies erfüllt die Bedingungen der Zulassung.
Ein manuelles Eintragen in diese Datei ist jedoch möglich. Um dies
auch zu verhindern, kann in der Registry der Name
DisableUserTrustlist
auf "1" gesetzt werden.
Die Trustlist wird mit jedem Update der Software neu installiert und dabei eventuell auf neue Standardwerte gesetzt. Falls Sie dies nicht wünschen und selber die Liste der vertrauenswürdigen Wurzelzertifikate pflegen möchten, sollten Sie eine eigene Datei dazu anlegen. Wir empfehlen hier die Verwendung des Namens mytrustlist.txt. Dies stellt sicher, daß diese Datei bei einem Update nicht überschrieben wird.
Als Startwert benutzen Sie bitte einen Kopie der installierten Standarddatei trustlist.txt. Weitere Zeilen können Sie dann entsprechend anlegen. Bitte stellen Sie sicher, daß auf die letzte Zeile ein Zeilenumbruch folgt (eventuell eine Leerzeile und eine Kommentarzeile anfügen).
Das Aktivieren der eigenen Trustlist erfolgt durch Setzen des
Registry Namens SysTrustlistFile
auf die Zeichenfolge
mytrustlist.txt bzw. des Dateinamens, den Sie verwender haben.
Falls Sie diese Datei in einem anderen Verzeichniss speichern wollen,
so können Sie dies machen; nur falls kein Verzeichnissnamen mit
angegeben wird, wird diese Datei im selben Verzeichniss wie die
Standarddatei trustlist.txt erwartet.
Alle Einträge in der Registry werden unterhalb des Schlüssels
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\GNU\GnuPG
erwartet. Der Typ
der Einträge ist immer eine Zeichenfolge oder erweiterte Zeichenfolge
(REG_SZ oder REG_EXPAND_SZ). Beispiel:
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\GNU\GnuPG] "DisableUsertrustlist"="1" "SysTrustlistFile"="mytrustlist.txt"
Unter Linux gibt es keine Regsitry, ändern Sie dort bitte die Datei
/etc/gnupg-vsd/gpg-agent.conf
indem Sie no-user-trustlist und
sys-trustlist-name mytrustlist.txt innerhalb eines "[force]"
Bereiches eintragen.
In der Trustlist werden Leerzeilen sowie Zeilen, die mit einem Doppelkreuz beginnen, ignoriert. Der Aufbau einer Zeile ist
- Optionales Ausrufezeichen um diesem Eintrag vorübergehend das Vertrauen zu entziehen.
- Eine SHA-1 Prüfsumme mit oder ohne Doppelpunkte als Trenner.
- Der Buchstabe "S"
- Das Schlüsselwort "relax"
Alle Felder werden durch ein oder mehrere Leerzeichen getrennt. Hier ein Beispiel für einen Eintrag:
# CN=PCA-1-Verwaltung-20,O=PKI-1-Verwaltung,C=DE EC:6D:31:96:53:1D:28:4F:16:66:C3:B7:51:CE:6A:DD:8E:54:EE:B2 S relax
Die Prüfsumme wird unter "Weitere Details" in Kleopatra angezeigt.
Sie können diese auch auf der Kommandozeile mittels gpgsm -k NAME
anzeigen lassen. Bevor Sie die Prüfsumme eintragen, sollten Sie diese
mit einer vertrauenwürdigen Quelle abgleichen. Falls diese Quelle nur
eine SHA256 Prüfsumme angibt, so vergleichen Sie diese mit der Ausgabe
in Kleopatra oder gpgsm ("sha2 fpr"), tragen dann aber die SHA1
Prüfsumme ein ("fingerprint").
Um Änderungen an der Trustlist zu aktivieren, sollten Sie in einem bereits laufenden Kleopatra "Extras->Hintergrundprozesse neu starten" aufrufen.