doc/HOWTO-SMIME.en.txt

   1 ;; HOWTO-SMIME.de.txt                               -*- coding: latin-1; -*-
   2 ;; This is a HOWTO installed with Gpg4win. Lines with a ; in the first
   3 ;; column are considered a comment and not included in the actually
   4 ;; installed version.  Certain keywords are replaced by the Makefile;
   5 ;; those words are enclosed by exclamation marks.
   6 To use S/MIME certificates for sign and encrypt, you have to define
   7 the trustability of X.509 root certificates.
   8
   9 A root certificate (root CA) is used to check the validity of all
  10 child certificates.  If you trust the root certificate therby you
  11 trust also all underlying certificates.
  12
  13 To avoid that each user must search and install the required root
  14 certificates, and also check and authenticate the trustworthiness of
  15 the same, it is useful to install a system-wide default of the most
  16 important root certificates:
  17
  18 1.  Store the root certificates
  19
  20      Copy root certificate file to:
  21
  22         %ProgramData%\GNU\etc\gnupg\trusted-certs
  23
  24      e.g.:
  25
  26         C:\ProgramData\GNU\etc\gnupg\trusted-certs
  27
  28      The corresponding root certificates must be available as files in DER
  29      format in the above file folder, with the file extension .crt or .der.
  30
  31      You get the root certificates from the respective CA administrators.
  32      CA operators often provide their root certificates also on websites
  33      for download.
  34
  35      If the above folder is not visible?
  36      Please read the reference note to the view options [1].
  37
  38
  39 2.  Store intermediate certificates
  40
  41      Some Certificate Authorities require additional intermediate
  42      certificates.
  43
  44      Copy intermediate certificates to:
  45
  46          %ProgramData%\GNU\etc\gnupg\extra-certs
  47
  48      e.g.:
  49
  50          C:\ProgramData\GNU\etc\gnupg\extra-certs
  51
  52      The format is the same as the root certificates.
  53
  54
  55 3.  Set root trust
  56
  57      a) Open the following file with a text editor:
  58
  59         %ProgramData%\GNU\etc\gnupg\trustlist.txt
  60
  61      e.g.:
  62
  63         C:\ProgramData\GNU\etc\gnupg\trustlist.txt
  64
  65      b) Create a new line per root certificate with the corresponding
  66         fingerprint, such as:
  67
  68          <FINGERPRINT> S
  69
  70          You get the fingerprint from the CA operators (often
  71          available from the website where you can download the root
  72          certificate).  Alternatively, you can get the fingerprint
  73          also via the command line tool "sha1sum" from the binary root
  74          certificate file (those files usually have a suffix of
  75          ".crt:, ".bin", ".cert" or ".cer"):
  76
  77            sha1sum < <ROOT-CERTIFICATE-FILE>
  78
  79          A row that begins with # will be treated as a comment and ignored.
  80          The end of the file must be followed by an empty row.
  81
  82          Example of two entries with comments:
  83            # CN=Wurzel ZS 3,O=Intevation GmbH,C=DE
  84            A6935DD34EF3087973C706FC311AA2CCF733765B S
  85
  86            # CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE
  87            DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S
  88
  89          In some cases it is useful to reduce the criteria for
  90          checking the root certificate.  To do this, you can set an
  91          additional flag relax after the S:
  92
  93          <FINGERPRINT> S relax
  94
  95
  96 3.  Complete Gpg4win installation and restart computer
  97
  98      a) Enable the option "Root certificate defined or skip configuration".
  99
 100      b) Complete the Gpg4win installation wizard regular.
 101
 102      c) Restart your computer! (Required because the DirMngr have to
 103         read your root certificates from step (1).)
 104
 105      Now, you have finished your S/MIME configuration successfully.
 106
 107 4.  Review later in Kleopatra: Import and check certificate chains
 108
 109      Open Kleopatra and import your X.509 certificate chains.  The
 110      imported certificate chains should appear under the tab "Trusted
 111      Certificates". Gpg4win recognizes your imported root certificates
 112      as trusted.
 113
 114      Problems? Kleopatra doesn't shows your root certificate as
 115      trusted?  Solutions:
 116
 117      * Click on the "Redisplay" button in Kleopatra to update the
 118        certificate view.
 119
 120      * Add "relax" after the relevant root certificate in the
 121        trustlist.txt - see step (2).
 122
 123 --
 124 For more information, see the Gpg4win Compendium, chapter 22:
 125      http://gpg4win.org/doc/en/gpg4win-compendium_28.html
 126
 127 [1] Note to view options in Windows Explorer:
 128
 129     Ensure that you have enabled the folder option "Show hidden files
 130     and folders".  You find this option under:
 131
 132       File > Folder and Search Options > Ansicht