HOME 21.9 Keine S/MIME-Operationen möglich (Wurzelzertifikat
nicht vertrauensw252rdig) Top 23 Probleme in den Gpg4win-Programmen aufsp252ren (Logdateien)22 Dateien und Einstellungen von Gpg4win Inhalt English

22 Dateien und Einstellungen von Gpg4win

22.1 Persönliche Einstellungen der Anwender

Die persönlichen Einstellungen für jeden Anwender befinden sich im Dateiordner:
%APPDATA%\gnupg
Oft entspricht das dem Dateiordner:
C:\Dokumente und Einstellungen\<name>\Anwendungsdaten\gnupg\

Beachten Sie, dass es sich um einen versteckten Dateiordner handelt. Um ihn sichtbar zu schalten, müssen Sie im Explorer über das Menü Extras -> Ordneroptionen im Reiter Ansicht die Option Alle Dateien und Ordner anzeigen unter der Gruppe Versteckte Dateien und Ordner aktivieren.

In diesem Dateiordner befinden sich sämtliche persönlichen GnuPG-Daten, also die privaten Schlüssel, Zertifikate, Vertrauensstellungen und Konfigurationen. Bei einer Deinstallation von Gpg4win wird dieser Ordner nicht gelöscht. Denken Sie daran, regelmäßig Sicherheitskopien dieses Ordners anzulegen.

22.2 Zwischengespeicherte Sperrlisten

Der systemweite Dienst DirMngr (Directory Manager) prüft unter anderem, ob ein X.509-Zertifikat gesperrt ist und daher nicht verwendet werden darf. Dafür werden Sperrlisten (CRLs) von den Ausgabestellen der Zertifikate (CAs) abgeholt und für die Dauer ihrer Gültigkeit zwischengespeichert.

Abgelegt werden diese Sperrlisten unter:
C:\Dokumente und Einstellungen\LocalService\LokaleEinstellungen\Anwendungsdaten\GNU\cache\dirmngr\crls.d\

Hierbei handelt es sich um geschützte Dateien, die standardmäßig vom Explorer nicht angezeigt werden. Sollten Sie dennoch die Anzeige dieser Dateien wünschen, deaktivieren Sie die Option Geschützte Systemdateien ausblenden in den Ansicht-Einstellungen des Windows-Explorers.

In diesem Dateiordner sollten keine Änderungen vorgenommen werden.

22.3 Vertrauenswürdige Wurzelzertifikate von DirMngr

Für eine vollständige Prüfung von X.509-Zertifikaten muss den Wurzelzertifikaten vertraut werden, mit deren Hilfe die Sperrlisten signiert wurden.

Die Wurzelzertifikate, denen der DirMngr systemweit bei den Prüfungen vertrauen soll, werden im folgenden Dateiordner abgelegt:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\etc\dirmngr\trusted-certs\

 

Wichtig: Die entsprechenden Wurzelzertifikate müssen als Dateien im Dateiformat DER mit der Dateinamens-Erweiterung .crt oder .der im o.g. Dateiordner vorliegen.

Der DirMngr läuft als systemweiter Dienst und muss nach Änderungen im „trusted-certs“-Dateiordner neu gestartet werden. Anschließend sind die dort abgelegten Wurzelzertifikate für alle Anwender als vertrauenswürdig gesetzt.

Beachten Sie auch Abschnitt 22.6, um den Wurzelzertifikaten vollständig (systemweit) zu vertrauen.

22.4 Weitere Zertifikate von DirMngr

Da vor einer Krypto-Operation die X.509-Zertifikatskette geprüft werden soll, muss somit auch das jeweilige Zertifikat der Beglaubigungsinstanz („Certificate Authority“, CA) geprüft werden.

Für eine direkte Verfügbarkeit können CA-Zertifikate in diesem (systemweiten) Dateiordner abgelegt werden:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\lib\dirmngr\extra-certs\

Zertifikate, die nicht hier oder bei den Anwendern vorliegen, müssen automatisch von X.509-Zertifikatsservern geladen werden.
Diese CA-Zertifikate können aber auch immer manuell vom Anwender importiert werden.

Es ist sinnvoll, im Rahmen von systemweiten Vorgaben hier die wichtigsten CA-Zertifikate abzulegen.

22.5 Systemweite Konfiguration zur Verwendung externer X.509-Zertifikatsserver

GnuPG kann so konfiguriert werden, dass bei Bedarf fehlende X.509-Zertifikate oder Sperrlisten auf externen X.509-Zertifikatsservern gesucht werden (vgl. auch Kapitel 20).
Für die X.509-Zertifikatssuche verwendet der Systemdienst DirMngr eine Liste von Zertifikatsservern, die in der Datei
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\etc\dirmngr\ldapservers.conf
angegeben werden können. Diese Zertifikatsserver werden für alle Nutzer (systemweit) verwendet. Jeder Nutzer kann darüber hinaus noch weitere, benutzerspezifische Zertifikatsserver für die Zertifikatssuche einrichten - z.B. direkt über Kleopatra (vgl. Kapitel 16.1).

Die genaue Syntax für die Zertifikatsserver-Einträge in der o.g. Konfigurationsdatei lautet:

HOSTNAME:PORT:USERNAME:PASSWORD:BASE_DN

Sind im internen Netz die Zugänge zu externen X.509-Zertifikatsservern mittels Firewall gesperrt, so kann man in der ldapservers.conf einen Proxy-Dienst für die entsprechende Durchleitung der Zertifikatssuche konfigurieren, wie folgende Zeile im Beispiel illustriert:

proxy.mydomain.example:389:::O=myorg,C=de
Für die Suche von Sperrlisten (CRLs) gibt es im gleichen Verzeichnis eine Konfigurationsdatei von DirMngr:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\etc\dirmngr\dirmngr.conf

Beachten Sie, dass nur Administratoren diese Datei schreiben dürfen.

Folgende Proxy-Optionen können Sie nach Bedarf in dieser Konfigurationsdatei ergänzen (jede Option in einer Zeile):

  • http-proxy HOST[:PORT] Diese Option verwendet HOST und PORT für den Zugang zum Zertifikatsserver. Die Umgebungsvariable http_proxy wird bei Verwendung dieser Option überschrieben.

    Ein Beispiel:
    http-proxy http://proxy.mydomain.example:8080

  • ldap-proxy HOST[:PORT] Diese Option verwendet HOST und PORT für den Zugang zum Zertifikatsserver. Ist keine Portnummer angegeben, wird der Standard LDAP-Port 389 benutzt. Diese Option überschreibt die im Zertifikat enthaltene LDAP-URL bzw. nutzt HOST und PORT, wenn keine LDAP-URL angegeben ist.
  • only-ldap-proxy

    Diese Option sorgt dafür, dass DirMngr niemals irgendetwas anderes nutzt als den unter ldap-proxy konfigurierten Proxy. Denn normalerweise versucht DirMngr andere konfigurierte Zertifikatsserver zu verwenden, wenn die Verbindung über ldap-proxy fehl schlägt.

22.6 Systemweite vertrauenswürdige Wurzelzertifikate

Die systemweit als vertrauenswürdig vorbelegten Wurzelzertifikate werden definiert in der Datei
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\etc\gnupg\trustlist.txt

Um ein Wurzelzertifikat als vertrauenswürdig zu markieren, muss der entsprechende Fingerabdruck des Zertifikats, gefolgt von einem Leerzeichen und einem großen S, in die o.g. Datei eingetragen werden. Ein Zertifikat wird explizit als nicht vertrauenswürdig markiert, wenn die Zeile mit dem Präfix „!“ beginnt. Sie können hier auch mehrere Wurzelzertifikate eintragen. Zu beachten ist dann, dass jeder Fingerabdruck in einer neuen Zeile steht. Eine Zeile, die mit einem # beginnt wird als Kommentar behandelt und ignoriert.

Wichtig: Abschließend (am Ende der Datei) muss eine Leerzeile erfolgen.

Ein Beispiel:

# CN=Wurzel ZS 3,O=Intevation GmbH,C=DE
A6935DD34EF3087973C706FC311AA2CCF733765B S

# CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE
DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S

# CN=Root-CA/O=Schlapphuete/L=Pullach/C=DE
!14:56:98:D3:FE:9C:CA:5A:31:6E:BC:81:D3:11:4E:00:90:A3:44:C2 S

Es kann in einigen Fällen sinnvoll sein, die Kriterien bei der Überprüfung der Wurzelzertifikate zu verringern. Sie können dazu hinter S eine weitere Flagge relax setzen: <FINGERABDRUCK> S relax

Wichtig: Die Verwendung von relax setzt die Sicherheit herab, muss daher individuell entschieden werden und sollte nur bei Problemen verwendet werden.

Genauere Details finden Sie in der aktuellen GnuPG-Dokumentation (Punkt „trustlist.txt“):
http://www.gnupg.org/documentation/manuals/gnupg/Agent-Configuration.html

Die genaue Syntax für die Einträge in die trustlist.txt lautet also:
[!]<FINGERABDRUCK> S [relax]
wobei ! und relax optional sind.

Anstelle der Flagge S sind noch die Werte P und * vorgesehen, die für zukünftigen Gebrauch reserviert sind.

Wichtig: Damit Wurzelzertifikate in Kleopatra vollständig als vertrauenswürdig markiert werden (Zertifikat wird blau hinterlegt), müssen die Wurzelzertifikate zusätzlich für den DirMngr abgelegt werden, wie unter Abschnitt 22.3 beschrieben.

22.7 Vertrauenswürdigkeit der Wurzelzertifikate durch Benutzer markieren

Wurzelzertifikate können auch jeweils von den einzelnen Benutzern als vertrauenswürdig markiert werden - eine systemweite Konfiguration (siehe Abschnitt 22.3 und 22.6) ist dann nicht erforderlich.

Öffnen Sie das Kleopatra-Menü Einstellungen -> Kleopatra einrichten und anschließend die Gruppe S/MIME-Prüfung. Aktivieren Sie hier die Option Erlauben, Wurzelzertifikate als vertrauenswürdig zu markieren. Dadurch werden Sie beim Gebrauch eines bisher nicht als vertrauenswürdig eingestuften Wurzelzertifikats gefragt, ob Sie es nun als vertrauenswürdig einstufen wollen. Beachten Sie, dass der gpg-agent ggf. einmalig neu gestartet werden muss, bevor die Änderung wirksam wird (z.B. durch ausloggen und wieder einloggen).

Die von Ihnen als vertrauenswürdig (oder wahlweise explizit als nicht vertrauenswürdig) gekennzeichneten Wurzelzertifikate werden automatisch in folgender Datei gespeichert:
C:\Dokumente und Einstellungen\<Nutzername>\Anwendungsdaten\gnupg\trustlist.txt

Für die trustlist.txt gilt die gleiche Syntax wie im Abschnitt 22.6 beschrieben.


© 21. Mai 2010, v3.0.0 (zuletzt geringfügig korrigiert am 21. September 2010)
Das Gpg4win-Kompendium ist unter der GNU Free Documentation License v1.2 lizensiert.


HOME 21.9 Keine S/MIME-Operationen möglich (Wurzelzertifikat
nicht vertrauensw252rdig) Top 23 Probleme in den Gpg4win-Programmen aufsp252ren (Logdateien)22 Dateien und Einstellungen von Gpg4win Inhalt English