Updating gnupg to version 2.2.0
[gpg4win.git] / doc / HOWTO-SMIME.en.txt
1 ;; HOWTO-SMIME.de.txt                               -*- coding: latin-1; -*-
2 ;; This is a HOWTO installed with Gpg4win. Lines with a ; in the first
3 ;; column are considered a comment and not included in the actually
4 ;; installed version.  Certain keywords are replaced by the Makefile;
5 ;; those words are enclosed by exclamation marks.
6
7 (To use S/MIME certificates for sign and encrypt, you have to define
8 the trustability of X.509 root certificates.)
9
10 A root certificate (root CA) is used to check the validity of all
11 child certificates.  If you trust the root certificate therby you
12 trust also all underlying certificates.
13
14 To avoid that each user must search and install the required root
15 certificates, and also check and authenticate the trustworthiness of
16 the same, it is useful to install a system-wide default of the most
17 important root certificates:
18
19 1.  Store the root certificates
20
21      Copy root certificate file to:
22
23      [Windows XP]:
24         C:\Documents and settings\All Users\Application data\GNU\etc\
25         dirmngr\trusted-certs\
26      [Windows Vista/7]:
27         C:\ProgramData\GNU\etc\dirmngr\trusted-certs
28
29      The corresponding root certificates must be available as files in DER
30      format in the above file folder, with the file extension .crt or .der.
31
32      You get the root certificates from the respective CA administrators.
33      CA operators often provide their root certificates also on websites
34      for download.
35
36      If the above folder is not visible?
37      Please read the reference note to the view options [1].
38
39 2.  Set ultimate trusted
40
41      a) Open the following file with a text editor:
42
43          [Windows XP]:
44            C:\Documents and settings\All Users\Application data\GNU\etc\
45            gnupg\trustlist.txt
46          [Windows Vista/7]:
47            C:\ProgramData\GNU\etc\gnupg\trustlist.txt
48
49      b) Create a new line per root certificate with the corresponding
50         fingerprint, such as:
51
52          <FINGERPRINT> S
53
54          You get the fingerprint from the CA operators (often
55          available from the website where you can download the root
56          certificate).  Alternatively, you can get the fingerprint
57          also via the command line tool "sha1sum" from the binary root
58          certificate file (those files usually have a suffix of
59          ".crt:, ".bin", ".cert" or ".cer"):
60
61            sha1sum < <ROOT-CERTIFICATE-FILE>
62
63          A row that begins with # will be treated as a comment and ignored.
64          The end of the file must be followed by an empty row.
65
66          Example of two entries with comments:
67            # CN=Wurzel ZS 3,O=Intevation GmbH,C=DE
68            A6935DD34EF3087973C706FC311AA2CCF733765B S
69
70            # CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE
71            DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S
72
73          In some cases it is useful to reduce the criteria for
74          checking the root certificate.  To do this, you can set an
75          additional flag relax after the S:
76
77          <FINGERPRINT> S relax
78
79
80 3.  Complete Gpg4win installation and restart computer
81
82      a) Enable the option "Root certificate defined or skip configuration".
83
84      b) Complete the Gpg4win installation wizard regular.
85
86      c) Restart your computer! (Required because the DirMngr have to
87         read your root certificates from step (1).)
88
89      Now, you have finished your S/MIME configuration successfully.
90
91 4.  Review later in Kleopatra: Import and check certificate chains
92
93      Open Kleopatra and import your X.509 certificate chains.  The
94      imported certificate chains should appear under the tab "Trusted
95      Certificates". Gpg4win recognizes your imported root certificates
96      as trusted.
97
98      Problems? Kleopatra doesn't shows your root certificate as
99      trusted?  Solutions:
100
101      * Click on the "Redisplay" button in Kleopatra to update the
102        certificate view.
103
104      * Add "relax" after the relevant root certificate in the
105        trustlist.txt - see step (2).
106
107 --
108 You will find this S/MIME configuration instruction in the Gpg4win
109 start menu "Documentation".
110
111 For more information, see the Gpg4win Compendium, chapter 22:
112      http://gpg4win.org/doc/en/gpg4win-compendium_28.html
113
114 [1] Note to view options in Windows Explorer:
115
116     Ensure that you have enabled the folder option "Show hidden files
117     and folders".  You find this option under:
118
119       [Windows XP]: Tools > Folder Options > View
120       [Windows Vista/7]: Organize > Folder and Search Options > Ansicht