FAQ für Administrator:innen

Dies ist eine Liste häufig von Nutzern gestellter Fragen von Administrator:innen. Wir haben darüber hinaus eine FAQ-Sammlung für Fragen von Benutzer:innen erstellt.

Zertifikate / Public keys

Welchen S/MIME-Zertifikaten vertraut GnuPG VS-Desktop und wie fügt man weitere Wurzelzertifikate hinzu?

GnuPG VS-Desktop hat ein eigenes Verzeichnis und Einstellungen für global akzeptierte X.509 Zertifikate, da gemäß der Zulassung nur Zertifikate einer PKI, die den Anforderungen der BSI TR-03145 Secure CA operation gerecht wird, für VS-NfD verwendet werden dürfen.

Wir liefern eine Konfiguration aus, bei der einige gängige zugelassene Zertifizierungsstellen enthalten sind, z.B. die PCA-1-Verwaltung.

Wie Sie weitere Zertifizierungsstellen hinzufügen können, entnehmen Sie bitte der Beschreibung "Hinzufügen neuer Wurzel Zertifikate".

Ein Zertifikat wird trotz Vertrauen in dessen Root-CA nicht als gültig angezeigt

Sie haben einem Root CA vertraut, trotzdem wird einer davon abgeleitete Zwischen-CA nicht vertraut. Dies tritt i.d.R. auf, wenn die CRL (Certificate Revokation List) eines Zertifikats nicht abgerufen werden kann. Dies wäre bei Offline-Systemen der Fall, aber auch bei Systemen mit starker Filterung bzw. einem Proxy.

Zur Fehleranalyse können Sie in der Eingabeaufforderung aufrufen:

gpgsm --with-validation -k "Zertifikatsname"

Dann wird eine Fehlerursache benannt.

Falls ihr Netzwerkzugang über ein Proxy erfolgt, müssen Sie dieses in den Registry Einstellungen für GnuPG VS-Desktop konfigurieren, siehe see S/MIME proxy Configuration.

Falls Sie GnuPG VS-Desktop auf einem Offline-System betreiben und S/MIME Zertifikate verwenden wollen, müssen Sie in den Einstellungen von Kleopatra unter "S/MIME - Prüfung" die Option "Nie Sperrlisten zu Rate ziehen" aktivieren. Damit dies VS-NfD konform ist, müssen sie die Sperrlistenprüfung dann regelmäßig auf einem anderen Rechner mit Onlinezugang vornehmen.

Sonstiges

Welche Einstellungen sind durch die Nutzer änderbar?

Unter %ProgramData%\GNU\etc\gnupg\dirmngr.conf werden bei der Installation Konfigurationstemplates abgelegt. Diese werden über die Registry angepasst. In den Templates sind Optionen einer Gruppe mit [force] markiert oder nicht. Die [force] Markierung bewirkt, dass diese Optionen nicht vom Nutzer geändert werden können. Sie sind in der Kleopatra Konfiguration ausgegraut, falls überhaupt angezeigt.

Die Optionen, die ein Nutzer in der Default-Konfiguration ändern kann, haben wir auf der Seite "Verbose Description of VSD Registry Settings" mit OPTION[user] markiert.