Removed windows 2000 from compatibility list (see gpg4win issue tracker #6252).
[gpg4win.git] / doc / HOWTO-SMIME.de.txt
1 (Um S/MIME-Zertifikate zum Signieren und Verschlüsseln zu verwenden, müssen Sie die\r
2 Vertrauenswürdigkeit der X.509-Wurzelzertifikate festlegen.)\r
3 \r
4 Ein Wurzelzertifikat (auch: Root-CA) dient dazu, die Gültigkeit aller untergeordneten\r
5 Zertifikate zu überprüfen. Wird dem Wurzelzertifikat vertraut, so vertraut man damit\r
6 auch allen darunter liegenden Zertifikaten.\r
7 \r
8 Um zu vermeiden, dass jeder Anwender selbst die notwendigen Wurzelzertifikate suchen\r
9 und installieren sowie deren Vertrauenswürdigkeit prüfen und beglaubigen muss, ist eine\r
10 systemweite Vorbelegung der wichtigsten Wurzelzertifikate als Administrator wie folgt\r
11 sinnvoll:\r
12 \r
13 1.  Ablegen der Wurzelzertifikate\r
14 \r
15      Kopieren Sie eine Wurzelzertifikats-Datei nach:\r
16      [Windows XP]:\r
17         C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\etc\\r
18         dirmngr\trusted-certs\\r
19      [Windows Vista/7]:\r
20         C:\ProgramData\GNU\etc\dirmngr\trusted-certs\r
21 \r
22      Die Wurzelzertifikate müssen als Dateien im Format DER mit der \r
23      Dateinamens-Erweiterung .crt oder .der zu liegen kommen.\r
24 \r
25      Sie bekommen die Wurzelzertifikate von den jeweiligen CA-Administratoren.\r
26      Oftmals bieten die CA-Betreiber ihre Wurzelzertifikate auch auf Webseiten\r
27      zum Download an.\r
28 \r
29      Ist der o.g. Ordner nicht sichtbar? \r
30      Beachten Sie den Hinweis zu den Ansichtsoptionen [1].\r
31 \r
32 2.  Ultimativ vertrauenswürdig setzen\r
33  \r
34      a) Öffnen Sie die folgende Datei mit einem Texteditor:\r
35          [Windows XP]:\r
36            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\etc\\r
37            gnupg\trustlist.txt\r
38          [Windows Vista/7]:\r
39            C:\ProgramData\GNU\etc\gnupg\trustlist.txt\r
40 \r
41      b) Pro Wurzelzertifikat erstellen Sie eine Zeile mit dem\r
42          zugehörigen Fingerabdruck, wie:\r
43          <FINGERABDRUCK> S \r
44 \r
45          Den Fingerabdruck bekommen Sie direkt vom CA-Betreiber (oftmals verfügbar \r
46          über die Webseite, wo das Zertifikat zum Download angeboten wird). \r
47          Alternativ können sie den Fingerabdruck auch mit Hilfe des \r
48          Kommandozeilenwerkzeugs "openssl" (nicht in Gpg4win enthalten) aus der \r
49          Wurzelzertifikatsdatei herausbekommmen:\r
50            openssl x509 -in <root-certificate> -noout -fingerprint -sha1\r
51       \r
52          Wenn eine Zeile in der trustlist.txt mit einem "#"-Zeichen beginnt, ist \r
53          diese Zeile ein Kommentar.\r
54          Abschließend (am Ende der Datei) muss eine Leerzeile erfolgen.\r
55 \r
56          Beispiel für zwei Einträge mit Kommentar:\r
57            # CN=Wurzel ZS 3,O=Intevation GmbH,C=DE, eintragen Bernhard 20101021\r
58            A6935DD34EF3087973C706FC311AA2CCF733765B S\r
59 \r
60            # CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE\r
61            DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S\r
62   \r
63          Es kann in einigen Fällen sinnvoll sein, die Kriterien bei der Überprüfung\r
64          der Wurzelzertifikate zu verringern. Sie können dazu hinter "S" eine weitere\r
65          Flagge "relax" setzen: <FINGERABDRUCK> S relax\r
66 \r
67          Wichtig: Die Verwendung von relax setzt die Sicherheit herab, muss daher\r
68          individuell entschieden werden und sollte nur bei Problemen verwendet\r
69          werden.\r
70 \r
71 3.  Gpg4win-Installation abschließen und Rechner neu starten\r
72 \r
73      a) Aktivieren Sie "Wurzelzertifikte festgelegt oder überspringen".\r
74 \r
75      b) Beenden Sie den Gpg4win-Installationsassistenten regulär.\r
76 \r
77      c) Starten Sie Ihren Rechner neu! (Erforderlich, damit der DirMngr\r
78         Ihre unter (1) abgelegten Wurzelzertifikate neu einliest.)\r
79 \r
80      Damit haben Sie die Konfiguration von S/MIME erfolgreich abgeschlossen.\r
81 \r
82 4.  Überprüfung später in Kleopatra: Zertifikatsketten importieren\r
83 \r
84      Öffnen Sie Kleopatra und importieren Sie Ihre X.509-Zertifikatsketten. \r
85      Die importierten Zertifikatsketten sollten unter dem Reiter \r
86      "Vertrauenswürdige Zertifikate" erscheinen. Damit erkennt Gpg4win Ihre\r
87      importierten Wurzelzertifikate als vertrauenswürdig an.\r
88 \r
89      Probleme? Wird Ihr Wurzelzertifikat nicht als vertrauenswürdig angezeigt?\r
90      Lösungsvorschläge:\r
91      * Klicken Sie in Kleopatra einmal auf "Aktualisieren", um die \r
92         Zertifikatsansicht zu aktualisieren.\r
93      * Ergänzen Sie "relax" hinter dem betroffenen Wurzelzertifikat \r
94         in der trustlist.txt - siehe Schritt (2).\r
95 \r
96 --\r
97 Diese Anleitung finden Sie zum späteren Nachlesen im Gpg4win-Startmenü unter\r
98 "Dokumentation".\r
99 \r
100 Weiterführende Informationen finden Sie im Gpg4win-Kompendium, Kapitel 22:\r
101      http://gpg4win.de/doc/de/gpg4win-compendium_28.html\r
102 \r
103 [1] Hinweis zu Ansichtsoptionen:\r
104      Stellen Sie sicher, dass Sie im Windows Explorer die nachfolgende\r
105      Ordneransichts-Option "Alle Dateien und Ordner anzeigen" aktiviert haben.\r
106      Sie erreichen diese Option unter:\r
107       [Windows XP]: Extras > Ordneroptionen > Ansicht\r
108       [Windows Vista/7]: Organisieren > Ordner- und Suchoptionen > Ansicht\r