FAQ für Administratoren von GnuPG VS-Desktop
Dies ist eine Liste von Fragen, die die Administration von GnuPG VS-Desktop betreffen.
Siehe ⇒ die User FAQ für Anwenderfragen.
Inhaltsverzeichnis
Zertifikate / Public keys
Welchen S/MIME-Zertifikaten vertraut GnuPG VS-Desktop und wie fügt man weitere Wurzelzertifikate hinzu?
GnuPG VS-Desktop hat ein eigenes Verzeichnis und Einstellungen für global akzeptierte X.509 Zertifikate, da gemäß der Zulassung nur Zertifikate einer PKI, die den Anforderungen der BSI TR-03145 Secure CA operation gerecht wird, für VS-NfD verwendet werden dürfen.
Wir liefern eine Konfiguration aus, bei der einige gängige zugelassene Zertifizierungsstellen enthalten sind, z.B. die PCA-1-Verwaltung.
Wie Sie weitere Zertifizierungsstellen hinzufügen können, entnehmen Sie bitte der Beschreibung "Hinzufügen neuer Wurzel Zertifikate".
Ein Zertifikat wird trotz Vertrauen in dessen Root-CA nicht als gültig angezeigt
Sie haben einem Root CA vertraut, trotzdem wird einer davon abgeleitete Zwischen-CA nicht vertraut. Dies tritt i.d.R. auf, wenn die CRL (Certificate Revokation List) eines Zertifikats nicht abgerufen werden kann. Dies wäre bei Offline-Systemen der Fall, aber auch bei Systemen mit starker Filterung bzw. einem Proxy.
Zur Fehleranalyse können Sie in der Eingabeaufforderung aufrufen:
gpgsm --with-validation -k "Zertifikatsname"
Dann wird eine Fehlerursache benannt.
Falls ihr Netzwerkzugang über ein Proxy erfolgt, müssen Sie dieses in den Registry Einstellungen für GnuPG VS-Desktop konfigurieren, siehe weiter unten.
Falls Sie GnuPG VS-Desktop auf einem Offline-System betreiben und S/MIME Zertifikate verwenden wollen, müssen Sie in den Einstellungen von Kleopatra unter "S/MIME - Prüfung" die Option "Nie Sperrlisten zu Rate ziehen" aktivieren. Damit dies VS-NfD konform ist, müssen sie die Sperrlistenprüfung dann regelmäßig auf einem anderen Rechner mit Onlinezugang vornehmen.
S/MIME Proxy Konfiguration
… am Beispiel der Konfiguration des HTTP Proxies. Sollten die Zertifikatssperrlisten (CRLs) nicht über HTTP ausgeliefert werden, finden Sie auf der Seite Registry Settings die weiteren relevanten Einstellmöglichkeiten für LDAP Proxy oder auch den Ausschluss eines Protokolls.
Für das HTTP Proxy erstellen Sie in der Registry unter
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\GNU\GnuPG
die Zeichenfolge HttpProxy
und geben ihr als Wert die Adresse ihres Proxies, ggf. mit Port und/oder
Passwort:
Achten Sie darauf, dass der Eintrag an der richtigen Stelle in der Registry erstellt wird, es gibt mehrere Knoten mit dem Namen "GnuPG". Zur Überprüfung können Sie sich anzeigen lassen, welche Konfigurationswerte zur Laufzeit berücksichtigt werden, und zwar mittels Eingabe auf der Kommandozeile von:
gpgconf -X | findstr HttpProxy
Nach Möglichkeit vermeiden sollten Sie, Registry Einstellungen und
solche in Kleopatra zu mischen: Die Registry Einstellungen gelten global auf
dem Rechner, die Einstellungen in Kleopatra sind jeweils lokal für den Nutzer
gültig. Sie werden in Dateien unter %APPDATA%\gnupg
abgespeichert, die unter
Umständen Vorrang vor Registry-Eintragungen haben. Im konkreten Fall würde der
Eintrag "http-proxy" in %APPDATA%\gnupg\dirmngr.conf
abgespeichert und der
Registry-Wert HttpProxy ignoriert, sofern Sie die Standard-Konfiguration von GnuPG
VS-Desktop verwenden. Dies ist i.d.R. sinnvoll, da an verschiedenen Standorten
unter Umständen unterschiedliche Proxy-Einstellungen nötig sind.
Bitte beachten Sie diesbezüglich, dass http-proxy und einige andere Optionen in der
ausführlichen Beschreibung der Registry
Einstellungen mit hochgestelltem [user]
markiert sind. Sie können alle
zusätzlich zu den Registry Einstellungen in Kleopatra individuell angepasst werden.
Wie kann ich Zertifikate von einem LDAP in ein WKD importieren?
Siehe Mirroring an LDAP Key Directory to a Web Key Directory.
Performance und Scripting
Kann die Verschlüsselung von großen Datenmengen beschleunigt werden?
Die Verschlüsselung auf der Kommandozeile ist generell schneller als mit dem grafischen Frontend Kleopatra. Bei großen auf einmal zu verschlüsselnden Datenmengen kann es sich daher lohnen, dies auf der Kommandozeile zu tun.
Wie verschlüsselt man VS-NfD konform auf der Kommandozeile?
Siehe Unattended Encryption of Files.
Sonstiges
Welche Einstellungen sind durch die Nutzer änderbar?
Unter %ProgramData%\GNU\etc\gnupg\dirmngr.conf
werden bei der Installation
Konfigurationstemplates abgelegt. Diese werden über die Registry angepasst.
In den Templates sind Optionen einer Gruppe mit [force] markiert oder nicht.
Die [force] Markierung bewirkt, dass diese Optionen nicht vom Nutzer geändert
werden können. Sie sind in der Kleopatra Konfiguration ausgegraut, falls
überhaupt angezeigt.
Die Optionen, die ein Nutzer in der Default-Konfiguration ändern kann, haben wir auf der Seite "Verbose Description of VSD Registry Settings" mit OPTION[user] markiert.
Von GnuPG [VS-]Desktop verwendet Ports
Siehe Von GnuPG [VS-]Desktop verwendet Ports.