Added new sponsor.
[gpg4win.git] / doc / HOWTO-SMIME.en.txt
1 EN\r
2 (Um S/MIME-Zertifikate zum Signieren und Verschlüsseln zu verwenden, müssen Sie die Vertrauenswürdigkeit der X.509-Wurzelzertifikate festlegen.)\r
3 \r
4 Ein Wurzelzertifikat (auch: Root-CA) dient dazu, die Gültigkeit aller untergeordneten Zertifikate zu überprüfen. Wird dem Wurzelzertifikat vertraut, so vertraut man damit auch allen darunter liegenden Zertifikaten.\r
5 \r
6 Um zu vermeiden, dass jeder Anwender selbst die notwendigen Wurzelzertifikate suchen und installieren sowie deren Vertrauenswürdigkeit prüfen und beglaubigen muss, ist eine systemweite Vorbelegung der wichtigsten Wurzelzertifikate als Administrator wie folgt sinnvoll:\r
7 \r
8 1.  Ablegen der Wurzelzertifikate\r
9 \r
10      Kopieren Sie eine Datei per Wurzelzertifikat nach:\r
11      [Windows 2000/XP]:\r
12         C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\etc\\r
13         dirmngr\trusted-certs\\r
14      [Windows Vista/7]:\r
15         C:\ProgramData\GNU\etc\dirmngr\trusted-certs\r
16 \r
17      Die Wurzelzertifikate müssen als Dateien im Format DER mit der \r
18      Dateinamens-Erweiterung .crt oder .der zu liegen kommen.\r
19 \r
20      Sie bekommen die Wurzelzertifikate von den jeweiligen CA-Administratoren.\r
21      Oftmals bieten die CA-Betreiber ihre Wurzelzertifikate auch auf Webseiten\r
22      zum Download an.\r
23 \r
24      Ist der o.g. Ordner nicht sichtbar? \r
25      Beachten Sie den Hinweis zu den Ansichtsoptionen [1].\r
26 \r
27 2.  Ultimativ vertrauenswürdig setzen\r
28  \r
29      a) Öffnen Sie die folgende Datei mit einem Texteditor:\r
30          [Windows 2000/XP]:\r
31            C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\etc\\r
32            gnupg\trustlist.txt\r
33          [Windows Vista/7]:\r
34            C:\ProgramData\GNU\etc\gnupg\trustlist.txt\r
35 \r
36      b) Pro Wurzelzertifikat erstellen Sie eine Zeile mit dem\r
37          zugehörigen Fingerabdruck, wie:\r
38          <FINGERABDRUCK> S \r
39 \r
40          Den Fingerabdruck bekommen Sie direkt vom CA-Betreiber (oftmals verfügbar \r
41          über die Webseite, wo das Zertifikat zum Download angeboten wird). \r
42          Alternativ können sie den Fingerabdruck auch mit Hilfe des \r
43          Kommandozeilenwerkzeugs "openssl" (nicht in Gpg4win enthalten) aus der \r
44          Wurzelzertifikatsdatei herausbekommmen:\r
45            openssl x509 -in <root-certificate> -noout -fingerprint -sha1\r
46       \r
47          Wenn eine Zeile in der trustlist.txt mit einem "#"-Zeichen beginnt, ist \r
48          diese Zeile ein Kommentar.\r
49          Abschließend (am Ende der Datei) muss eine Leerzeile erfolgen.\r
50 \r
51          Beispiel für zwei Einträge mit Kommentar:\r
52            # CN=Wurzel ZS 3,O=Intevation GmbH,C=DE, eintragen Bernhard 20101021\r
53            A6935DD34EF3087973C706FC311AA2CCF733765B S\r
54 \r
55            # CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE\r
56            DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S\r
57   \r
58          Es kann in einigen Fällen sinnvoll sein, die Kriterien bei der Überprüfung\r
59          der Wurzelzertifikate zu verringern. Sie können dazu hinter "S" eine weitere\r
60          Flagge "relax" setzen: <FINGERABDRUCK> S relax\r
61 \r
62          Wichtig: Die Verwendung von relax setzt die Sicherheit herab, muss daher\r
63          individuell entschieden werden und sollte nur bei Problemen verwendet\r
64          werden.\r
65 \r
66 3.  Gpg4win-Installation abschließen und Rechner neu starten\r
67 \r
68      a) Aktivieren Sie "Wurzelzertifikte festgelegt oder überspringen".\r
69 \r
70      b) Beenden Sie den Gpg4win-Installationsassistenten regulär.\r
71 \r
72      c) Starten Sie Ihren Rechner neu! (Erforderlich, damit der DirMngr\r
73         Ihre unter (1) abgelegten Wurzelzertifikate neu einliest.)\r
74 \r
75      Damit haben Sie die Konfiguration von S/MIME erfolgreich abgeschlossen.\r
76 \r
77 4.  Überprüfung später in Kleopatra: Zertifikatsketten importieren\r
78 \r
79      Öffnen Sie Kleopatra und importieren Sie Ihre X.509-Zertifikatsketten. \r
80      Die importierten Zertifikatsketten sollten unter dem Reiter \r
81      "Vertrauenswürdige Zertifikate" erscheinen. Damit erkennt Gpg4win Ihre\r
82      importierten Wurzelzertifikate als vertrauenswürdig an.\r
83 \r
84      Probleme? Wird Ihr Wurzelzertifikat nicht als vertrauenswürdig angezeigt?\r
85      Lösungsvorschläge:\r
86      * Klicken Sie in Kleopatra einmal auf "Aktualisieren", um die \r
87         Zertifikatsansicht zu aktualisieren.\r
88      * Ergänzen Sie "relax" hinter dem betroffenen Wurzelzertifikat \r
89         in der trustlist.xtxt - siehe Schritt (2).\r
90 \r
91 --\r
92 Diese Anleitung finden Sie zum späteren Nachlesen im Gpg4win-Startmenü unter "Dokumentation".\r
93 \r
94 Weiterführende Informationen finden Sie im Gpg4win-Kompendium, Kapitel 22:\r
95      http://gpg4win.de/doc/de/gpg4win-compendium_28.html\r
96 \r
97 [1] Hinweis zu Ansichtsoptionen:\r
98      Stellen Sie sicher, dass Sie im Windows Explorer die nachfolgende\r
99      Ordneransichts-Option "Alle Dateien und Ordner anzeigen"\r
100      aktiviert haben.\r
101      Sie erreichen diese Option unter:\r
102       [Windows 2000/XP]: Extras > Ordneroptionen > Ansicht\r
103       [Windows Vista/7]: Organisieren > Ordner- und Suchoptionen > Ansicht\r