FAQ für Administrator:innen
Dies ist eine Liste häufig von Nutzern gestellter Fragen von Administrator:innen. Wir haben darüber hinaus eine FAQ-Sammlung für Fragen von Benutzer:innen erstellt.
Zertifikate / Public keys
Welchen S/MIME-Zertifikaten vertraut GnuPG VS-Desktop und wie fügt man weitere Wurzelzertifikate hinzu?
GnuPG VS-Desktop hat ein eigenes Verzeichnis und Einstellungen für global akzeptierte X.509 Zertifikate, da gemäß der Zulassung nur Zertifikate einer PKI, die den Anforderungen der BSI TR-03145 Secure CA operation gerecht wird, für VS-NfD verwendet werden dürfen.
Wir liefern eine Konfiguration aus, bei der einige gängige zugelassene Zertifizierungsstellen enthalten sind, z.B. die PCA-1-Verwaltung.
Wie Sie weitere Zertifizierungsstellen hinzufügen können, entnehmen Sie bitte der Beschreibung "Hinzufügen neuer Wurzel Zertifikate".
Ein Zertifikat wird trotz Vertrauen in dessen Root-CA nicht als gültig angezeigt
Sie haben einem Root CA vertraut, trotzdem wird einer davon abgeleitete Zwischen-CA nicht vertraut. Dies tritt i.d.R. auf, wenn die CRL (Certificate Revokation List) eines Zertifikats nicht abgerufen werden kann. Dies wäre bei Offline-Systemen der Fall, aber auch bei Systemen mit starker Filterung bzw. einem Proxy.
Zur Fehleranalyse können Sie in der Eingabeaufforderung aufrufen:
gpgsm --with-validation -k "Zertifikatsname"
Dann wird eine Fehlerursache benannt.
Falls ihr Netzwerkzugang über ein Proxy erfolgt, müssen Sie dieses in den Registry Einstellungen für GnuPG VS-Desktop konfigurieren, siehe see S/MIME proxy Configuration.
Falls Sie GnuPG VS-Desktop auf einem Offline-System betreiben und S/MIME Zertifikate verwenden wollen, müssen Sie in den Einstellungen von Kleopatra unter "S/MIME - Prüfung" die Option "Nie Sperrlisten zu Rate ziehen" aktivieren. Damit dies VS-NfD konform ist, müssen sie die Sperrlistenprüfung dann regelmäßig auf einem anderen Rechner mit Onlinezugang vornehmen.
Sonstiges
Welche Einstellungen sind durch die Nutzer änderbar?
Unter %ProgramData%\GNU\etc\gnupg\dirmngr.conf
werden bei der Installation
Konfigurationstemplates abgelegt. Diese werden über die Registry angepasst.
In den Templates sind Optionen einer Gruppe mit [force] markiert oder nicht.
Die [force] Markierung bewirkt, dass diese Optionen nicht vom Nutzer geändert
werden können. Sie sind in der Kleopatra Konfiguration ausgegraut, falls
überhaupt angezeigt.
Die Optionen, die ein Nutzer in der Default-Konfiguration ändern kann, haben wir auf der Seite "Verbose Description of VSD Registry Settings" mit OPTION[user] markiert.