22 Dateien und Einstellungen von Gpg4win | Inhalt |
Die persönlichen Einstellungen für jeden Anwender befinden sich im
Dateiordner:
%APPDATA%\gnupg
Oft entspricht das dem Dateiordner:
C:\Dokumente und
Einstellungen\<name>\Anwendungsdaten\gnupg\
Beachten Sie, dass es sich um einen versteckten Dateiordner handelt. Um ihn sichtbar zu schalten, müssen Sie im Explorer über das Menü Extras -> Ordneroptionen im Reiter Ansicht die Option Alle Dateien und Ordner anzeigen unter der Gruppe Versteckte Dateien und Ordner aktivieren.
In diesem Dateiordner befinden sich sämtliche persönlichen GnuPG-Daten, also die privaten Schlüssel, Zertifikate, Vertrauensstellungen und Konfigurationen. Bei einer Deinstallation von Gpg4win wird dieser Ordner nicht gelöscht. Denken Sie daran, regelmäßig Sicherheitskopien dieses Ordners anzulegen.
Der systemweite Dienst DirMngr (Directory Manager) prüft unter anderem, ob ein X.509-Zertifikat gesperrt ist und daher nicht verwendet werden darf. Dafür werden Sperrlisten (CRLs) von den Ausgabestellen der Zertifikate (CAs) abgeholt und für die Dauer ihrer Gültigkeit zwischengespeichert.
Abgelegt werden diese Sperrlisten unter:
C:\Dokumente und
Einstellungen\LocalService\LokaleEinstellungen\Anwendungsdaten\GNU\cache\dirmngr\crls.d\
Hierbei handelt es sich um geschützte Dateien, die standardmäßig vom Explorer nicht angezeigt werden. Sollten Sie dennoch die Anzeige dieser Dateien wünschen, deaktivieren Sie die Option Geschützte Systemdateien ausblenden in den Ansicht-Einstellungen des Windows-Explorers.
In diesem Dateiordner sollten keine Änderungen vorgenommen werden.
Für eine vollständige Prüfung von X.509-Zertifikaten muss den Wurzelzertifikaten vertraut werden, mit deren Hilfe die Sperrlisten signiert wurden.
Die Wurzelzertifikate, denen der DirMngr systemweit bei den Prüfungen vertrauen soll, werden im folgenden Dateiordner abgelegt:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\etc\dirmngr\trusted-certs\
Wichtig: Die entsprechenden Wurzelzertifikate müssen als
Dateien im Dateiformat DER mit der Dateinamens-Erweiterung
.crt oder .der im o.g. Dateiordner vorliegen.
Der DirMngr läuft als systemweiter Dienst und muss nach Änderungen im „trusted-certs“-Dateiordner neu gestartet werden. Anschließend sind die dort abgelegten Wurzelzertifikate für alle Anwender als vertrauenswürdig gesetzt.
Beachten Sie auch Abschnitt 22.6, um den Wurzelzertifikaten vollständig (systemweit) zu vertrauen.
Da vor einer Krypto-Operation die X.509-Zertifikatskette geprüft werden soll, muss somit auch das jeweilige Zertifikat der Beglaubigungsinstanz („Certificate Authority“, CA) geprüft werden.
Für eine direkte Verfügbarkeit können
CA-Zertifikate in diesem
(systemweiten) Dateiordner abgelegt werden:
C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\GNU\lib\dirmngr\extra-certs\
Zertifikate, die nicht hier oder bei den Anwendern vorliegen, müssen
automatisch von X.509-Zertifikatsservern geladen werden.
Diese CA-Zertifikate können aber auch immer manuell vom Anwender
importiert werden.
Es ist sinnvoll, im Rahmen von systemweiten Vorgaben hier die wichtigsten CA-Zertifikate abzulegen.
GnuPG kann so konfiguriert werden, dass bei Bedarf fehlende
X.509-Zertifikate oder Sperrlisten auf externen
X.509-Zertifikatsservern gesucht werden (vgl. auch
Kapitel 20).
Für die X.509-Zertifikatssuche verwendet der Systemdienst DirMngr eine Liste
von Zertifikatsservern, die in der Datei
C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\GNU\etc\dirmngr\ldapservers.conf
angegeben werden können. Diese Zertifikatsserver werden für alle
Nutzer (systemweit) verwendet. Jeder Nutzer kann darüber hinaus noch
weitere, benutzerspezifische Zertifikatsserver für die
Zertifikatssuche einrichten - z.B. direkt über Kleopatra (vgl.
Kapitel 16.1).
Die genaue Syntax für die Zertifikatsserver-Einträge in der o.g. Konfigurationsdatei lautet:
HOSTNAME:PORT:USERNAME:PASSWORD:BASE_DN
Sind im internen Netz die Zugänge zu externen X.509-Zertifikatsservern mittels Firewall gesperrt, so kann man in der ldapservers.conf einen Proxy-Dienst für die entsprechende Durchleitung der Zertifikatssuche konfigurieren, wie folgende Zeile im Beispiel illustriert:
proxy.mydomain.example:389:::O=myorg,C=de
Für die Suche von Sperrlisten (CRLs) gibt
es im gleichen Verzeichnis eine Konfigurationsdatei von DirMngr:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\etc\dirmngr\dirmngr.conf
Beachten Sie, dass nur Administratoren diese Datei schreiben dürfen.
Folgende Proxy-Optionen können Sie nach Bedarf in dieser Konfigurationsdatei ergänzen (jede Option in einer Zeile):
Ein Beispiel:
http-proxy http://proxy.mydomain.example:8080
Diese Option sorgt dafür, dass DirMngr niemals irgendetwas anderes nutzt als den unter ldap-proxy konfigurierten Proxy. Denn normalerweise versucht DirMngr andere konfigurierte Zertifikatsserver zu verwenden, wenn die Verbindung über ldap-proxy fehl schlägt.
Die systemweit als vertrauenswürdig vorbelegten Wurzelzertifikate
werden definiert in der Datei
C:\Dokumente und
Einstellungen\All Users\Anwendungsdaten\GNU\etc\gnupg\trustlist.txt
Um ein Wurzelzertifikat als vertrauenswürdig zu markieren, muss der entsprechende Fingerabdruck des Zertifikats, gefolgt von einem Leerzeichen und einem großen S, in die o.g. Datei eingetragen werden. Ein Zertifikat wird explizit als nicht vertrauenswürdig markiert, wenn die Zeile mit dem Präfix „!“ beginnt. Sie können hier auch mehrere Wurzelzertifikate eintragen. Zu beachten ist dann, dass jeder Fingerabdruck in einer neuen Zeile steht. Eine Zeile, die mit einem # beginnt wird als Kommentar behandelt und ignoriert.
Wichtig: Abschließend (am Ende der Datei) muss eine Leerzeile erfolgen.
Ein Beispiel:
# CN=Wurzel ZS 3,O=Intevation GmbH,C=DE A6935DD34EF3087973C706FC311AA2CCF733765B S # CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S # CN=Root-CA/O=Schlapphuete/L=Pullach/C=DE !14:56:98:D3:FE:9C:CA:5A:31:6E:BC:81:D3:11:4E:00:90:A3:44:C2 S
Es kann in einigen Fällen sinnvoll sein, die Kriterien bei der Überprüfung der Wurzelzertifikate zu verringern. Sie können dazu hinter S eine weitere Flagge relax setzen: <FINGERABDRUCK> S relax
Wichtig: Die Verwendung von relax setzt die Sicherheit herab, muss daher individuell entschieden werden und sollte nur bei Problemen verwendet werden.
Genauere Details finden Sie in der aktuellen GnuPG-Dokumentation
(Punkt „trustlist.txt“):
http://www.gnupg.org/documentation/manuals/gnupg/Agent-Configuration.html
Die genaue Syntax für die Einträge in die trustlist.txt lautet also:
[!]<FINGERABDRUCK> S [relax]
wobei ! und relax optional sind.
Anstelle der Flagge S sind noch die Werte P und * vorgesehen, die für zukünftigen Gebrauch reserviert sind.
Wichtig: Damit Wurzelzertifikate in Kleopatra vollständig als vertrauenswürdig markiert werden (Zertifikat wird blau hinterlegt), müssen die Wurzelzertifikate zusätzlich für den DirMngr abgelegt werden, wie unter Abschnitt 22.3 beschrieben.
Wurzelzertifikate können auch jeweils von den einzelnen Benutzern als vertrauenswürdig markiert werden - eine systemweite Konfiguration (siehe Abschnitt 22.3 und 22.6) ist dann nicht erforderlich.
Öffnen Sie das Kleopatra-Menü Einstellungen -> Kleopatra einrichten und anschließend die Gruppe S/MIME-Prüfung. Aktivieren Sie hier die Option Erlauben, Wurzelzertifikate als vertrauenswürdig zu markieren. Dadurch werden Sie beim Gebrauch eines bisher nicht als vertrauenswürdig eingestuften Wurzelzertifikats gefragt, ob Sie es nun als vertrauenswürdig einstufen wollen. Beachten Sie, dass der gpg-agent ggf. einmalig neu gestartet werden muss, bevor die Änderung wirksam wird (z.B. durch ausloggen und wieder einloggen).
Die von Ihnen als vertrauenswürdig (oder wahlweise explizit als nicht
vertrauenswürdig) gekennzeichneten Wurzelzertifikate werden
automatisch in folgender Datei gespeichert:
C:\Dokumente und
Einstellungen\<Nutzername>\Anwendungsdaten\gnupg\trustlist.txt
Für die trustlist.txt gilt die gleiche Syntax wie im Abschnitt 22.6 beschrieben.
© 21. Mai 2010, v3.0.0 (zuletzt geringfügig korrigiert am 21. September 2010)
Das Gpg4win-Kompendium ist unter der
GNU Free Documentation License v1.2 lizensiert.
22 Dateien und Einstellungen von Gpg4win | Inhalt |