9b028df6c00df41c1b16abaaa223014df51c7fcd
[gpg4win.git] / doc / HOWTO-SMIME.en.txt
1 (To use S/MIME certificates for sign and encrypt, you have to define the trustability\r
2 of X.509 root certificates.)\r
3 \r
4 A root certificate (root CA) is used to check the validity of all child certificates.\r
5 If you trust the root certificate therby you trust also all underlying certificates.\r
6 \r
7 To avoid that each user must search and install the required root certificates, and\r
8 also check and authenticate the trustworthiness of the same, it is useful to install\r
9 a system-wide default of the most important root certificates:\r
10 \r
11 1.  Store the root certificates\r
12 \r
13      Copy root certificate file to:\r
14      [Windows 2000/XP]:\r
15         C:\Documents and settings\All Users\Application data\GNU\etc\\r
16         dirmngr\trusted-certs\\r
17      [Windows Vista/7]:\r
18         C:\ProgramData\GNU\etc\dirmngr\trusted-certs\r
19 \r
20      The corresponding root certificates must be available as files in DER\r
21      format in the above file folder, with the file extension .crt or .der. \r
22 \r
23      You get the root certificates from the respective CA administrators.\r
24      CA operators often provide their root certificates also on websites\r
25      for download.\r
26 \r
27      If the above folder is not visible? \r
28      Please read the reference note to the view options [1].\r
29 \r
30 2.  Set ultimate trusted\r
31  \r
32      a) Open the following file with a text editor:\r
33          [Windows 2000/XP]:\r
34            C:\Documents and settings\All Users\Application data\GNU\etc\\r
35            gnupg\trustlist.txt\r
36          [Windows Vista/7]:\r
37            C:\ProgramData\GNU\etc\gnupg\trustlist.txt\r
38 \r
39      b) Create a new line per root certificate with the corresponding fingerprint,\r
40          such as:\r
41          <FINGERABDRUCK> S \r
42 \r
43          You get the fingerprint from the CA operators (often available\r
44          from the website where you can download the root certificate). \r
45          Alternatively, you can get the fingerprint also via the command line tool\r
46          "openssl" (not included in Gpg4win) from the root certificate file:\r
47            openssl x509 -in <root-certificate> -noout -fingerprint -sha1\r
48       \r
49          A row that begins with # will be treated as a comment and ignored. \r
50          The end of the file must be followed by an empty row.\r
51 \r
52          Example of two entries with comments:\r
53            # CN=Wurzel ZS 3,O=Intevation GmbH,C=DE\r
54            A6935DD34EF3087973C706FC311AA2CCF733765B S\r
55 \r
56            # CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE\r
57            DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S\r
58   \r
59          In some cases it is useful to reduce the criteria for checking the root \r
60          certificate. To do this, you can set an additional flag relax after the S: \r
61          <FINGERPRINT> S relax\r
62 \r
63          Important: Using relax reduces the level of security, so it needs to be\r
64          decided on a case-by-case basis and should only be used in the case of\r
65          problems. \r
66 \r
67 3.  Complete Gpg4win installation and restart computer\r
68 \r
69      a) Enable the option "Root certificate defined or skip configuration".\r
70 \r
71      b) Complete the Gpg4win installation wizard regular.\r
72 \r
73      c) Restart your computer! (Required because the DirMngr have to read your root \r
74          certificates from (1).)\r
75 \r
76      Now, you have finished your S/MIME configuration successfully.\r
77 \r
78 4.  Review later in Kleopatra: Import and check certificate chains\r
79 \r
80      Open Kleopatra and import your X.509 certificate chains. \r
81      The imported certificate chains should appear under the tab "Trusted\r
82      Certificates". Gpg4win recognizes your imported root certificates as\r
83      trusted.\r
84 \r
85      Problems? Kleopatra doesn't shows your root certificate as trusted?\r
86      Solutions:\r
87      * Click on the "Redisplay" button in Kleopatra to update the certificate view.\r
88      * Add "relax" after the relevant root certificate in the trustlist.txt - see\r
89         step (2).\r
90 \r
91 --\r
92 You will find this S/MIME configuration instruction in the Gpg4win start menu\r
93 "Documentation".\r
94 \r
95 For more information, see the Gpg4win Compendium, chapter 22:\r
96      http://gpg4win.org/doc/en/gpg4win-compendium_28.html\r
97 \r
98 [1] Note to view options in Windows Explorer:\r
99      Ensure that you have enabled the folder option "Show hidden files and folders"\r
100      You find this option under:\r
101       [Windows 2000/XP]: Tools > Folder Options > View\r
102       [Windows Vista/7]: Organize > Folder and Search Options > Ansicht\r