FAQ für Administrator:innen

Diese Liste enthält häufig gestellte Fragen aus der Perspektive von Administrator*innen. Für Themen aus Sicht der Benutzer*innen gibt es eine separate FAQ.

Zertifikate/öffentliche Schlüssel

Welche S/MIME-Zertifikate gelten als vertrauenswürdig und wie fügt man Root-Zertifikate hinzu?

GnuPG VS-Desktop® verwendet ein eigenes Verzeichnis und eine separate Konfiguration für global akzeptierte X.509-Zertifikate. Hintergrund ist die Vorgabe der Zulassung: Für den Einsatz auf VS-NfD-Niveau dürfen nur Zertifikate aus einer PKI verwendet werden, die die Anforderungen der BSI TR-03145 „Secure CA Operation“ erfüllt.

Die mitgelieferte Standardkonfiguration enthält bereits einige häufig genutzte zugelassene Zertifizierungsstellen – darunter etwa die PCA-1-Verwaltung.


Warum wird ein Zertifikat trotz vertrauenswürdiger CA als ungültig angezeigt?

Sie haben einer Root-CA vertraut, doch einer der davon abgeleiteten Zwischen-Zertifizierungsstellen wird trotzdem nicht vertraut? Häufig liegt das daran, dass die Sperrliste (CRL, Certificate Revocation List) nicht abgerufen werden kann. Das ist typischerweise bei Offline-Systemen der Fall, aber auch bei Netzwerken mit starker Filterung oder Proxy-Nutzung.

Zur Analyse öffnen Sie eine Eingabeaufforderung und führen folgenden Befehl aus:

gpgsm --with-validation -k "Zertifikatsname"

Die Ausgabe nennt eine konkrete Ursache.

Wenn Ihr System über einen Proxy auf das Internet zugreift, müssen Sie die Proxy-Einstellungen in der Windows-Registry für GnuPG VS-Desktop® hinterlegen:


Falls Sie GnuPG VS-Desktop® auf einem Offline-System einsetzen und S/MIME-Zertifikate verwenden möchten, aktivieren Sie in den Einstellungen von Kleopatra unter S/MIME-Prüfung die Option Nie Sperrlisten zu Rate ziehen.

Achtung: Damit dies VS-NfD-konform bleibt, müssen Sie die Sperrlistenprüfung regelmäßig auf einem onlinefähigen System durchführen.

Weitere Themen

Welche Einstellungen können Nutzer:innen selbst anpassen?

Unter %ProgramData%\GNU\etc\gnupg\dirmngr.conf werden bei der Installation Konfigurationsvorlagen abgelegt. Diese Templates lassen sich über die Registry anpassen.

Einige Optionen in den Vorlagen sind mit [force] markiert. Diese Markierung bewirkt, dass die betreffenden Einstellungen durch Nutzer:innen nicht verändert werden können – in Kleopatra sind sie dann entweder ausgegraut oder gar nicht sichtbar.

Welche Optionen in der Standardkonfiguration angepasst werden dürfen, haben wir auf der Seite „Detailed Guide to VSD Registry Settings“ mit OPTION[user] gekennzeichnet.

LDAP-Zertifikatssuche mit GnuPG: Wie geht das?

GnuPG und die Desktop-Varianten unterstützen die Verwendung von LDAP-Verzeichnissen mit einem OpenPGP-Schema zur Zertifikatssuche. Damit lassen sich Zertifikate innerhalb einer Organisation komfortabel und zentral bereitstellen.

Weitere Informationen zur Einrichtung und Nutzung finden Sie in den folgenden Anleitungen: