FAQ für Administratoren von GnuPG VS-Desktop

Dies ist eine Liste von Fragen, die die Administration von GnuPG VS-Desktop betreffen.

Siehe ⇒ die User FAQ für Anwenderfragen.

Zertifikate / Public keys

Welchen S/MIME-Zertifikaten vertraut GnuPG VS-Desktop und wie fügt man weitere Wurzelzertifikate hinzu?

GnuPG VS-Desktop hat ein eigenes Verzeichnis und Einstellungen für global akzeptierte X.509 Zertifikate, da gemäß der Zulassung nur Zertifikate einer PKI, die den Anforderungen der BSI TR-03145 Secure CA operation gerecht wird, für VS-NfD verwendet werden dürfen.

Wir liefern eine Konfiguration aus, bei der einige gängige zugelassene Zertifizierungsstellen enthalten sind, z.B. die PCA-1-Verwaltung.

Wie Sie weitere Zertifizierungsstellen hinzufügen können, entnehmen Sie bitte der Beschreibung "Hinzufügen neuer Wurzel Zertifikate".

Ein Zertifikat wird trotz Vertrauen in dessen Root-CA nicht als gültig angezeigt

Sie haben einem Root CA vertraut, trotzdem wird einer davon abgeleitete Zwischen-CA nicht vertraut. Dies tritt i.d.R. auf, wenn die CRL (Certificate Revokation List) eines Zertifikats nicht abgerufen werden kann. Dies wäre bei Offline-Systemen der Fall, aber auch bei Systemen mit starker Filterung bzw. einem Proxy.

Zur Fehleranalyse können Sie in der Eingabeaufforderung aufrufen:

gpgsm --with-validation -k "Zertifikatsname"

Dann wird eine Fehlerursache benannt.

Falls ihr Netzwerkzugang über ein Proxy erfolgt, müssen Sie dieses in den Registry Einstellungen für GnuPG VS-Desktop konfigurieren, siehe weiter unten.

Falls Sie GnuPG VS-Desktop auf einem Offline-System betreiben und S/MIME Zertifikate verwenden wollen, müssen Sie in den Einstellungen von Kleopatra unter "S/MIME - Prüfung" die Option "Nie Sperrlisten zu Rate ziehen" aktivieren. Damit dies VS-NfD konform ist, müssen sie die Sperrlistenprüfung dann regelmäßig auf einem anderen Rechner mit Onlinezugang vornehmen.

S/MIME Proxy Konfiguration

… am Beispiel der Konfiguration des HTTP Proxies. Sollten die Zertifikatssperrlisten (CRLs) nicht über HTTP ausgeliefert werden, finden Sie auf der Seite Registry Settings die weiteren relevanten Einstellmöglichkeiten für LDAP Proxy oder auch den Ausschluss eines Protokolls.

Für das HTTP Proxy erstellen Sie in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\GNU\GnuPG die Zeichenfolge HttpProxy und geben ihr als Wert die Adresse ihres Proxies, ggf. mit Port und/oder Passwort: FAQ-reg-entry-proxy.png

Achten Sie darauf, dass der Eintrag an der richtigen Stelle in der Registry erstellt wird, es gibt mehrere Knoten mit dem Namen "GnuPG". Zur Überprüfung können Sie sich anzeigen lassen, welche Konfigurationswerte zur Laufzeit berücksichtigt werden, und zwar mittels Eingabe auf der Kommandozeile von:

gpgconf -X | findstr HttpProxy

Nach Möglichkeit vermeiden sollten Sie, Registry Einstellungen und solche in Kleopatra zu mischen: Die Registry Einstellungen gelten global auf dem Rechner, die Einstellungen in Kleopatra sind jeweils lokal für den Nutzer gültig. Sie werden in Dateien unter %APPDATA%\gnupg abgespeichert, die unter Umständen Vorrang vor Registry-Eintragungen haben. Im konkreten Fall würde der Eintrag "http-proxy" in %APPDATA%\gnupg\dirmngr.conf abgespeichert und der Registry-Wert HttpProxy ignoriert, sofern Sie die Standard-Konfiguration von GnuPG VS-Desktop verwenden. Dies ist i.d.R. sinnvoll, da an verschiedenen Standorten unter Umständen unterschiedliche Proxy-Einstellungen nötig sind.

Bitte beachten Sie diesbezüglich, dass http-proxy und einige andere Optionen in der ausführlichen Beschreibung der Registry Einstellungen mit hochgestelltem [user] markiert sind. Sie können alle zusätzlich zu den Registry Einstellungen in Kleopatra individuell angepasst werden.

Wie kann ich Zertifikate von einem LDAP in ein WKD importieren?

Siehe Mirroring an LDAP Key Directory to a Web Key Directory.

Performance und Scripting

Kann die Verschlüsselung von großen Datenmengen beschleunigt werden?

Die Verschlüsselung auf der Kommandozeile ist generell schneller als mit dem grafischen Frontend Kleopatra. Bei großen auf einmal zu verschlüsselnden Datenmengen kann es sich daher lohnen, dies auf der Kommandozeile zu tun.

Wie verschlüsselt man VS-NfD konform auf der Kommandozeile?

Siehe Unattended Encryption of Files.

Sonstiges

Welche Einstellungen sind durch die Nutzer änderbar?

Unter %ProgramData%\GNU\etc\gnupg\dirmngr.conf werden bei der Installation Konfigurationstemplates abgelegt. Diese werden über die Registry angepasst. In den Templates sind Optionen einer Gruppe mit [force] markiert oder nicht. Die [force] Markierung bewirkt, dass diese Optionen nicht vom Nutzer geändert werden können. Sie sind in der Kleopatra Konfiguration ausgegraut, falls überhaupt angezeigt.

Die Optionen, die ein Nutzer in der Default-Konfiguration ändern kann, haben wir auf der Seite "Verbose Description of VSD Registry Settings" mit OPTION[user] markiert.

Von GnuPG [VS-]Desktop verwendet Ports

See Von GnuPG [VS-]Desktop verwendet Ports.