FAQ für Administrator:innen
Diese Liste enthält häufig gestellte Fragen aus der Perspektive von Administrator*innen. Für Themen aus Sicht der Benutzer*innen gibt es eine separate FAQ.
Zertifikate/öffentliche Schlüssel
Welche S/MIME-Zertifikate gelten als vertrauenswürdig und wie fügt man Root-Zertifikate hinzu?
GnuPG VS-Desktop® verwendet ein eigenes Verzeichnis und eine separate Konfiguration für global akzeptierte X.509-Zertifikate. Hintergrund ist die Vorgabe der Zulassung: Für den Einsatz auf VS-NfD-Niveau dürfen nur Zertifikate aus einer PKI verwendet werden, die die Anforderungen der BSI TR-03145 „Secure CA Operation“ erfüllt.
Die mitgelieferte Standardkonfiguration enthält bereits einige häufig genutzte zugelassene Zertifizierungsstellen – darunter etwa die PCA-1-Verwaltung.
Warum wird ein Zertifikat trotz vertrauenswürdiger CA als ungültig angezeigt?
Sie haben einer Root-CA vertraut, doch einer der davon abgeleiteten Zwischen-Zertifizierungsstellen wird trotzdem nicht vertraut? Häufig liegt das daran, dass die Sperrliste (CRL, Certificate Revocation List) nicht abgerufen werden kann. Das ist typischerweise bei Offline-Systemen der Fall, aber auch bei Netzwerken mit starker Filterung oder Proxy-Nutzung.
Zur Analyse öffnen Sie eine Eingabeaufforderung und führen folgenden Befehl aus:
gpgsm --with-validation -k "Zertifikatsname"
Die Ausgabe nennt eine konkrete Ursache.
Wenn Ihr System über einen Proxy auf das Internet zugreift, müssen Sie die Proxy-Einstellungen in der Windows-Registry für GnuPG VS-Desktop® hinterlegen:
Falls Sie GnuPG VS-Desktop® auf einem Offline-System einsetzen und S/MIME-Zertifikate verwenden möchten, aktivieren Sie in den Einstellungen von Kleopatra unter S/MIME-Prüfung die Option Nie Sperrlisten zu Rate ziehen.
Achtung: Damit dies VS-NfD-konform bleibt, müssen Sie die Sperrlistenprüfung regelmäßig auf einem onlinefähigen System durchführen.
Weitere Themen
Welche Einstellungen können Nutzer:innen selbst anpassen?
Unter %ProgramData%\GNU\etc\gnupg\dirmngr.conf
werden bei der
Installation Konfigurationsvorlagen abgelegt. Diese Templates lassen
sich über die Registry anpassen.
Einige Optionen in den Vorlagen sind mit [force]
markiert. Diese
Markierung bewirkt, dass die betreffenden Einstellungen durch Nutzer:innen
nicht verändert werden können – in Kleopatra sind sie dann entweder
ausgegraut oder gar nicht sichtbar.
Welche Optionen in der Standardkonfiguration angepasst werden dürfen, haben wir auf der Seite „Detailed Guide to VSD Registry Settings“ mit OPTION[user] gekennzeichnet.
LDAP-Zertifikatssuche mit GnuPG: Wie geht das?
GnuPG und die Desktop-Varianten unterstützen die Verwendung von LDAP-Verzeichnissen mit einem OpenPGP-Schema zur Zertifikatssuche. Damit lassen sich Zertifikate innerhalb einer Organisation komfortabel und zentral bereitstellen.
Weitere Informationen zur Einrichtung und Nutzung finden Sie in den folgenden Anleitungen:
- How to use LDAP with GnuPG erklärt unter anderem die Konfiguration eines OpenLDAP-Servers unter Linux und bietet zusätzliche Hinweise zum LDAP-Einsatz mit GnuPG.
- How to install an LDS for use with GnuPG (VS-)Desktop® beschreibt die Einrichtung eines Microsoft Windows LDS als Keyserver sowie die nötige Client-Konfiguration für GnuPG (VS-)Desktop®.