16 Die Zertifikatsserver | Inhalt |
Die Nutzung eines Zertifikatsservers zum Verbreiten Ihres öffentlichen (OpenPGP- oder X.509-) Zertifikats wurde bereits im Abschnitt 8.2 einführend erläutert. Dieses Kapitel beschäftigt sich mit den Details von Zertifikatsservern und zeigt Ihnen, wie Sie diese mit Kleopatra nutzen können.
Zertifikatsserver können von allen Programmen benutzt werden, die die Standards OpenPGP bzw. X.509 unterstützen. Kleopatra unterstützt beide Arten, also sowohl OpenPGP- als auch X.509-Zertifikatsserver.
Öffnen Sie den Konfigurationsdialog von Kleopatra:
Einstellungen -> Kleopatra einrichten...
Legen Sie unter der Gruppe Zertifikatsserver einen neuen Zertifikatsserver an, indem Sie auf die Schaltfläche Neu klicken. Wählen Sie zwischen OpenPGP oder X.509.
Bei OpenPGP wird in die Liste ein voreingestellter OpenPGP-Zertifikatsserver mit der Serveradresse hkp://keys.gnupg.net (Port: 11371, Protokoll: hkp) hinzugefügt. Sie können diesen ohne Änderung direkt verwenden - oder Sie nutzen eine der vorgeschlagenen OpenPGP-Serveradressen von der nächsten Seite.
Bei X.509 erhalten Sie folgende Vorbelegungen für einen X.509-Zertifikatsserver: (Protokoll: ldap, Servername: server, Server-Port: 389). Vervollständigen Sie die Angaben zu Servername und Basis-DN Ihres X.509-Zertifikatsservers und prüfen Sie den Server-Port.
Sollte Ihr Zertifikatsserver Benutzername und Passwort fordern, so aktivieren Sie die Option Benutzerauthentisierung notwendig und tragen Ihre gewünschten Angaben ein.
Der folgende Screenshot zeigt einen konfigurierten OpenPGP-Zertifikatsserver:
Bestätigen Sie abschließend Ihre Konfiguration mit [OK]. Ihr Zertifikatsserver ist nun erfolgreich eingerichtet.
Um sicherzugehen, dass Sie den Zertifikatsserver korrekt konfiguriert haben, ist es hilfreich, z.B. eine Zertifikatssuche auf dem Server zu starten (Anleitung siehe Abschnitt 16.2).
Proxy-Einstellung: Falls Sie einen Proxy in Ihrem Netzwerk
nutzen, sollten Sie die Zertifikatsserver-Adresse in der Spalte
Servername um den Parameter http-proxy=<proxydomain>
ergänzen. Der vollständige Servername könnte also z.B. lauten:
keys.gnupg.net http-proxy=proxy.hq
Kontrollieren und ggf.
korrigieren können Sie die Zertifikatsserver-Konfigurationen auch in
der Datei: %APPDATA%\gnupg\gpg.conf
Erläuterungen zur systemweiten Konfiguration von X.509-Zertifikatsservern
finden Sie im Abschnitt 22.5.
Es wird empfohlen, nur moderne OpenPGP-Zertifikatsserver zu verwenden, da nur diese mit den neueren Merkmalen von OpenPGP umgehen können.
Hier eine Auswahl von gut funktionierenden Zertifikatsservern:
Sollten Sie Probleme mit einer Firewall haben, so versuchen Sie es am besten mit Zertifikatsservern, deren URL mit http:// beginnen.
Die Zertifikatsserver unter den Adressen
sind ein Sammelpunkt für ein ganzes Netz dieser Server; es wird dann zufällig ein konkreter Server ausgewählt.
Achtung: Nicht ldap://keyserver.pgp.com als Zertifikatsserver benutzen, weil dieser sich nicht mit den anderen Servern synchronisiert (Stand: Mai 2010).
Nachdem Sie mindestens einen Zertifikatsserver eingerichtet haben, können Sie nun dort nach Zertifikaten suchen und diese anschließend importieren.
Klicken Sie dazu in Kleopatra auf Datei -> Zertifikate auf Server suchen....
Sie erhalten einen Suchdialog, in dessen Eingabefeld Sie den Namen des Zertifikatsbesitzers - oder eindeutiger und daher besser geeignet - seine E-Mail-Adresse seines Zertifikats eingeben können.
Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie auf die Schaltfläche [Details...].
Wenn Sie nun eines der gefundenen Zertifikate in Ihre lokale Zertifikatssammlung einfügen möchten, selektieren Sie das Zertifikat aus der Liste der Suchergebnisse und klicken Sie auf [Importieren].
Kleopatra zeigt Ihnen anschließend einen Dialog mit den Ergebnissen des Importvorgangs an. Bestätigen Sie diesen mit [OK].
War der Import erfolgreich, finden Sie nun das ausgewählte Zertifikat in der Zertifikatsverwaltung von Kleopatra.
Wenn Sie einen OpenPGP-Zertifikatsserver wie im Abschnitt 16.1 beschrieben eingerichtet haben, genügt ein Mausklick, und Ihr öffentliches OpenPGP-Zertifikat ist unterwegs rund um die Welt.
Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken Sie anschließend auf den Menüeintrag: Datei -> Zertifikate nach Server exportieren....
Sie brauchen Ihr Zertifikat nur an irgendeinen der verfügbaren OpenPGP-Zertifikatsserver zu senden, denn fast alle synchronisieren sich weltweit miteinander. Es kann ein, zwei Tage dauern, bis Ihr OpenPGP-Zertifikat wirklich überall verfügbar ist, aber dann haben Sie ein „globales“ Zertifikat.
Sollten Sie Ihr Zertifikat exportieren, ohne zuvor einen OpenPGP-Zertifikatsserver eingerichtet zu haben, so schlägt Ihnen Kleopatra den bereits voreingestellten Server hkp://keys.gnupg.net zur Verwendung vor.
© 21. Mai 2010, v3.0.0 (zuletzt geringfügig korrigiert am 21. September 2010)
Das Gpg4win-Kompendium ist unter der
GNU Free Documentation License v1.2 lizensiert.
16 Die Zertifikatsserver | Inhalt |