HOME 15 Zertifikat im Detail Top 17 Dateianhänge verschl252sseln16 Die Zertifikatsserver Inhalt English

16 Die Zertifikatsserver

Die Nutzung eines Zertifikatsservers zum Verbreiten Ihres öffentlichen (OpenPGP- oder X.509-) Zertifikats wurde bereits im Abschnitt 8.2 einführend erläutert. Dieses Kapitel beschäftigt sich mit den Details von Zertifikatsservern und zeigt Ihnen, wie Sie diese mit Kleopatra nutzen können.

Zertifikatsserver können von allen Programmen benutzt werden, die die Standards OpenPGP bzw. X.509 unterstützen. Kleopatra unterstützt beide Arten, also sowohl OpenPGP- als auch X.509-Zertifikatsserver.

OpenPGP-Zertifikatsserver
(im Englischen auch „key server“ genannt) sind dezentral organisiert und synchronisieren sich weltweit miteinander. Aktuelle Statistiken über ihre Zahl oder die Anzahl der dort liegenden OpenPGP-Zertifikate gibt es nicht. Dieses verteilte Netz von OpenPGP-Zertifikatsservern sorgt für eine bessere Verfügbarkeit und verhindert, dass einzelne Systemadministratoren Zertifikate löschen, um so die sichere Kommunikation unmöglich zu machen („Denial of Service“-Angriff).
X.509-Zertifikatsserver
werden in der Regel von den Beglaubigungsinstanzen (CAs) über LDAP bereitgestellt und manchmal auch als Verzeichnisdienste für X.509-Zertifikate bezeichnet.

16.1 Zertifikatsserver einrichten

Öffnen Sie den Konfigurationsdialog von Kleopatra:
Einstellungen -> Kleopatra einrichten...

Legen Sie unter der Gruppe Zertifikatsserver einen neuen Zertifikatsserver an, indem Sie auf die Schaltfläche Neu klicken. Wählen Sie zwischen OpenPGP oder X.509.

Bei OpenPGP wird in die Liste ein voreingestellter OpenPGP-Zertifikatsserver mit der Serveradresse hkp://keys.gnupg.net (Port: 11371, Protokoll: hkp) hinzugefügt. Sie können diesen ohne Änderung direkt verwenden - oder Sie nutzen eine der vorgeschlagenen OpenPGP-Serveradressen von der nächsten Seite.

Bei X.509 erhalten Sie folgende Vorbelegungen für einen X.509-Zertifikatsserver: (Protokoll: ldap, Servername: server, Server-Port: 389). Vervollständigen Sie die Angaben zu Servername und Basis-DN Ihres X.509-Zertifikatsservers und prüfen Sie den Server-Port.

Sollte Ihr Zertifikatsserver Benutzername und Passwort fordern, so aktivieren Sie die Option Benutzerauthentisierung notwendig und tragen Ihre gewünschten Angaben ein.

Der folgende Screenshot zeigt einen konfigurierten OpenPGP-Zertifikatsserver:

Bestätigen Sie abschließend Ihre Konfiguration mit [OK]. Ihr Zertifikatsserver ist nun erfolgreich eingerichtet.

Um sicherzugehen, dass Sie den Zertifikatsserver korrekt konfiguriert haben, ist es hilfreich, z.B. eine Zertifikatssuche auf dem Server zu starten (Anleitung siehe Abschnitt 16.2).

Proxy-Einstellung: Falls Sie einen Proxy in Ihrem Netzwerk nutzen, sollten Sie die Zertifikatsserver-Adresse in der Spalte Servername um den Parameter http-proxy=<proxydomain> ergänzen. Der vollständige Servername könnte also z.B. lauten:
keys.gnupg.net http-proxy=proxy.hq
Kontrollieren und ggf. korrigieren können Sie die Zertifikatsserver-Konfigurationen auch in der Datei: %APPDATA%\gnupg\gpg.conf
Erläuterungen zur systemweiten Konfiguration von X.509-Zertifikatsservern finden Sie im Abschnitt 22.5.

OpenPGP-Zertifikatsserver-Adressen

Es wird empfohlen, nur moderne OpenPGP-Zertifikatsserver zu verwenden, da nur diese mit den neueren Merkmalen von OpenPGP umgehen können.

Hier eine Auswahl von gut funktionierenden Zertifikatsservern:

  • hkp://blackhole.pca.dfn.de
  • hkp://pks.gpg.cz
  • hkp://pgp.cns.ualberta.ca
  • hkp://minsky.surfnet.nl
  • hkp://keyserver.ubuntu.com
  • hkp://keyserver.pramberger.at
  • http://keyserver.pramberger.at
  • http://gpg-keyserver.de

Sollten Sie Probleme mit einer Firewall haben, so versuchen Sie es am besten mit Zertifikatsservern, deren URL mit http:// beginnen.

Die Zertifikatsserver unter den Adressen

  • hkp://keys.gnupg.net (Vorauswahl von Kleopatra, siehe Bildschirmfoto auf vorheriger Seite)
  • hkp://subkeys.pgp.net

sind ein Sammelpunkt für ein ganzes Netz dieser Server; es wird dann zufällig ein konkreter Server ausgewählt.

Achtung: Nicht ldap://keyserver.pgp.com als Zertifikatsserver benutzen, weil dieser sich nicht mit den anderen Servern synchronisiert (Stand: Mai 2010).

16.2 Zertifikate auf Zertifikatsservern suchen und importieren

Nachdem Sie mindestens einen Zertifikatsserver eingerichtet haben, können Sie nun dort nach Zertifikaten suchen und diese anschließend importieren.

Klicken Sie dazu in Kleopatra auf Datei -> Zertifikate auf Server suchen....

Sie erhalten einen Suchdialog, in dessen Eingabefeld Sie den Namen des Zertifikatsbesitzers - oder eindeutiger und daher besser geeignet - seine E-Mail-Adresse seines Zertifikats eingeben können.

Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie auf die Schaltfläche [Details...].

Wenn Sie nun eines der gefundenen Zertifikate in Ihre lokale Zertifikatssammlung einfügen möchten, selektieren Sie das Zertifikat aus der Liste der Suchergebnisse und klicken Sie auf [Importieren].

Kleopatra zeigt Ihnen anschließend einen Dialog mit den Ergebnissen des Importvorgangs an. Bestätigen Sie diesen mit [OK].

War der Import erfolgreich, finden Sie nun das ausgewählte Zertifikat in der Zertifikatsverwaltung von Kleopatra.

16.3 Zertifikate auf OpenPGP-Zertifikatsserver exportieren

Wenn Sie einen OpenPGP-Zertifikatsserver wie im Abschnitt 16.1 beschrieben eingerichtet haben, genügt ein Mausklick, und Ihr öffentliches OpenPGP-Zertifikat ist unterwegs rund um die Welt.

Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken Sie anschließend auf den Menüeintrag: Datei -> Zertifikate nach Server exportieren....

Sie brauchen Ihr Zertifikat nur an irgendeinen der verfügbaren OpenPGP-Zertifikatsserver zu senden, denn fast alle synchronisieren sich weltweit miteinander. Es kann ein, zwei Tage dauern, bis Ihr OpenPGP-Zertifikat wirklich überall verfügbar ist, aber dann haben Sie ein „globales“ Zertifikat.

Sollten Sie Ihr Zertifikat exportieren, ohne zuvor einen OpenPGP-Zertifikatsserver eingerichtet zu haben, so schlägt Ihnen Kleopatra den bereits voreingestellten Server hkp://keys.gnupg.net zur Verwendung vor.


© 21. Mai 2010, v3.0.0 (zuletzt geringfügig korrigiert am 21. September 2010)
Das Gpg4win-Kompendium ist unter der GNU Free Documentation License v1.2 lizensiert.


HOME 15 Zertifikat im Detail Top 17 Dateianhänge verschl252sseln16 Die Zertifikatsserver Inhalt English