GnuPG VS-Desktop^® verwendet ein eigenes Verzeichnis und eine separate Konfiguration für global akzeptierte X.509-Zertifikate. Hintergrund ist die Vorgabe der Zulassung: Für den Einsatz auf VS-NfD-Niveau dürfen nur Zertifikate aus einer PKI verwendet werden, die die Anforderungen der BSI TR-03145 „Secure CA Operation“ erfüllt.

Die mitgelieferte Standardkonfiguration enthält bereits einige häufig genutzte zugelassene Zertifizierungsstellen – darunter etwa die PCA-1-Verwaltung.

Sie haben einer Root-CA vertraut, doch einer der davon abgeleiteten Zwischen-Zertifizierungsstellen wird trotzdem nicht vertraut? Häufig liegt das daran, dass die Sperrliste (CRL, Certificate Revocation List) nicht abgerufen werden kann. Das ist typischerweise bei Offline-Systemen der Fall, aber auch bei Netzwerken mit starker Filterung oder Proxy-Nutzung.

Zur Analyse öffnen Sie eine Eingabeaufforderung und führen folgenden Befehl aus:

gpgsm --with-validation -k "Zertifikatsname"

Die Ausgabe nennt eine konkrete Ursache.

Wenn Ihr System über einen Proxy auf das Internet zugreift, müssen Sie die Proxy-Einstellungen in der Windows-Registry für GnuPG VS-Desktop^® hinterlegen:

Falls Sie GnuPG VS-Desktop^® auf einem Offline-System einsetzen und S/MIME-Zertifikate verwenden möchten, aktivieren Sie in den Einstellungen von Kleopatra unter S/MIME-Prüfung die Option Nie Sperrlisten zu Rate ziehen.

Achtung: Damit dies VS-NfD-konform bleibt, müssen Sie die Sperrlistenprüfung regelmäßig auf einem onlinefähigen System durchführen.

Unter %ProgramData%\GNU\etc\gnupg\dirmngr.conf werden bei der Installation Konfigurationsvorlagen abgelegt. Diese Templates lassen sich über die Registry anpassen.

Einige Optionen in den Vorlagen sind mit [force] markiert. Diese Markierung bewirkt, dass die betreffenden Einstellungen durch Nutzer:innen nicht verändert werden können – in Kleopatra sind sie dann entweder ausgegraut oder gar nicht sichtbar.

Welche Optionen in der Standardkonfiguration angepasst werden dürfen, haben wir auf der Seite „Detailed Guide to VSD Registry Settings“ mit OPTION^[user] gekennzeichnet.

GnuPG und die Desktop-Varianten unterstützen die Verwendung von LDAP-Verzeichnissen mit einem OpenPGP-Schema zur Zertifikatssuche. Damit lassen sich Zertifikate innerhalb einer Organisation komfortabel und zentral bereitstellen.

Weitere Informationen zur Einrichtung und Nutzung finden Sie in den folgenden Anleitungen:

• How to use LDAP with GnuPG erklärt unter anderem die Konfiguration eines OpenLDAP-Servers unter Linux und bietet zusätzliche Hinweise zum LDAP-Einsatz mit GnuPG.
• How to install an LDS for use with GnuPG (VS-)Desktop® beschreibt die Einrichtung eines Microsoft Windows LDS als Keyserver sowie die nötige Client-Konfiguration für GnuPG (VS-)Desktop^®.