Hinzufügen neuer Wurzel Zertifikate

Die Installation von Wurzelzertifikaten für S/MIME (X.509) ist bei GnuPG VS-Desktop® und GnuPG Desktop® zweigeteilt:

  1. Installation des Zertifikats
  2. Einstellung des Vertrauens

Im Folgenden beschreiben wir, welche Möglichkeiten es hierbei gibt.

Installation der Wurzelzertifikate

Neue X.509 Wurzelzertifikate können über die normale Import Funktion importiert werden. Endzertifikate under Zwischenzertifikate können auch Information enthalten, anhand derer GnuPG VS-Desktop die Zertifikate automatisch herunterlädt und importiert.

Derartig importierte Zertifikate werden aber spezifisch für jede Benutzerin abgespeichert. Insbesondere im Hinblick auf die noch notwendige Einstellung des Vertrauens (s.u.), ist es oft sinnvoll, diese Zertifikate vorab und global zu installieren. Kopieren Sie die Zertifikate als einzelne Dateien nach 

%ALLUSERSPROFILE%\GNU\etc\gnupg\trusted-certs\

Die Dateien müssen DER encoded sein (binär) mit einer Dateiendung von ".der" oder ".cer". Bitte beachten Sie, daß diesen Dateien für TLS Zwecke (Remote Zugriffe wie CRLs und OCSP) direkt vertraut wird. Diesem Wurzelzertifikaten wird aber für Datei und Mailverschlüsslung nicht direkt vertraut. Alternativ können Wurzelzertifikate auch nach 

%ALLUSERSPROFILE%\GNU\etc\gnupg\extra-certs\

gespeichert werden. Dies wird normalerweise für Zwischenzertifikate verwendet. Es ist aber auch möglich Wurzelzertifikate dort zu speichern, sofern diese nur für Mail und und Dateiverschlüsselung benutzt werden sollen. Wir empfehlen dies aber nicht, da von Ihnen installierte Wurzelzertifikate praktisch immer auch für OCSP und CRL benötigt werden.

Wenn Sie eine neue Version von GnuPG VS-Desktop installieren, so werden die von Ihnen installierten Zertifikate nicht überschrieben. Das Speichern eines Zertifikats unter mehreren Dateinamen schadet übrigens nicht.

Einstellen des Vertrauens

Das Vertrauen in Wurzelzertifikate wird durch die Konfigurationsdatei trustlist.txt bestimmt. Diese wird von GnuPG VS-Desktop als 

%ALLUSERSPROFILE%\GNU\etc\gnupg\trustlist.txt

installiert 1. Die Benutzerin könnte zusätzlich eine eigene trustlist.txt unter 

%APPDATA%\gnupg\trustlist.txt

anlegen 2. Allerdings sind die GUI Elemente hierfür nicht aktiv und können vom Benutzer auch nicht aktiviert werden. Dies erfüllt die Bedingungen der Zulassung. Ein manuelles Eintragen in diese Datei ist jedoch möglich. Um dies auch zu verhindern, kann in der Registry der Name DisableUserTrustlist auf "1" gesetzt werden.

Die Trustlist wird mit jedem Update der Software neu installiert und dabei eventuell auf neue Standardwerte gesetzt. Falls Sie dies nicht wünschen und selber die Liste der vertrauenswürdigen Wurzelzertifikate pflegen möchten, sollten Sie eine eigene Datei dazu anlegen. Wir empfehlen hier die Verwendung des Namens mytrustlist.txt. Dies stellt sicher, daß diese Datei bei einem Update nicht überschrieben wird.

Als Startwert benutzen Sie bitte einen Kopie der installierten Standarddatei trustlist.txt. Weitere Zeilen können Sie dann entsprechend anlegen. Bitte stellen Sie sicher, daß auf die letzte Zeile ein Zeilenumbruch folgt (eventuell eine Leerzeile und eine Kommentarzeile anfügen).

Das Aktivieren der eigenen Trustlist erfolgt durch Setzen des Registry Namens SysTrustlistFile auf die Zeichenfolge mytrustlist.txt bzw. des Dateinamens, den Sie verwender haben. Falls Sie diese Datei in einem anderen Verzeichniss speichern wollen, so können Sie dies machen; nur falls kein Verzeichnissnamen mit angegeben wird, wird diese Datei im selben Verzeichniss wie die Standarddatei trustlist.txt erwartet.

Alle Einträge in der Registry werden unterhalb des Schlüssels HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\GNU\GnuPG erwartet. Der Typ der Einträge ist immer eine Zeichenfolge oder erweiterte Zeichenfolge (REG_SZ oder REG_EXPAND_SZ). Beispiel: 

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\GNU\GnuPG]
"DisableUsertrustlist"="1"
"SysTrustlistFile"="mytrustlist.txt"

Unter Linux gibt es keine Regsitry, ändern Sie dort bitte die Datei /etc/gnupg-vsd/gpg-agent.conf indem Sie no-user-trustlist und sys-trustlist-name mytrustlist.txt innerhalb eines "[force]" Bereiches eintragen.

In der Trustlist werden Leerzeilen sowie Zeilen, die mit einem Doppelkreuz beginnen, ignoriert. Der Aufbau einer Zeile ist

  1. Optionales Ausrufezeichen um diesem Eintrag vorübergehend das Vertrauen zu entziehen.
  2. Eine SHA-1 Prüfsumme mit oder ohne Doppelpunkte als Trenner.
  3. Der Buchstabe "S"
  4. Das Schlüsselwort "relax"

Alle Felder werden durch ein oder mehrere Leerzeichen getrennt. Hier ein Beispiel für einen Eintrag: 

# CN=PCA-1-Verwaltung-20,O=PKI-1-Verwaltung,C=DE
EC:6D:31:96:53:1D:28:4F:16:66:C3:B7:51:CE:6A:DD:8E:54:EE:B2 S relax

Die Prüfsumme wird unter "Weitere Details" in Kleopatra angezeigt. Sie können diese auch auf der Kommandozeile mittels gpgsm -k NAME anzeigen lassen. Bevor Sie die Prüfsumme eintragen, sollten Sie diese mit einer vertrauenwürdigen Quelle abgleichen. Falls diese Quelle nur eine SHA256 Prüfsumme angibt, so vergleichen Sie diese mit der Ausgabe in Kleopatra oder gpgsm ("sha2 fpr"), tragen dann aber die SHA1 Prüfsumme ein ("fingerprint").

Um Änderungen an der Trustlist zu aktivieren, sollten Sie in einem bereits laufenden Kleopatra "Extras->Hintergrundprozesse neu starten" aufrufen.

Fußnoten:

1

/etc/gnupg-vsd/trustlist.txt unter Linux

2

~/.gnupg-vsd/trustlist.txt unter Linux

Sofern nicht anderweitig angemerkt, sind diese Seiten: Copyright 2024 g10 Code GmbH. Die Erstellung und Verbreitung wortgetreuer Kopien auf beliebigen Medien ist erlaubt, sofern auch diese Genehmigung erhalten bleibt. Weitere Details im Impressum & Datenschutzerklärung. Diese Seite wurde zuletzt geändert am: 2023-10-06.