Update copyright year
[gpg4win.git] / doc / HOWTO-SMIME.en.txt
1 ;; HOWTO-SMIME.de.txt                               -*- coding: latin-1; -*-
2 ;; This is a HOWTO installed with Gpg4win. Lines with a ; in the first
3 ;; column are considered a comment and not included in the actually
4 ;; installed version.  Certain keywords are replaced by the Makefile;
5 ;; those words are enclosed by exclamation marks.
6 To use S/MIME certificates for sign and encrypt, you have to define
7 the trustability of X.509 root certificates.
8
9 A root certificate (root CA) is used to check the validity of all
10 child certificates.  If you trust the root certificate therby you
11 trust also all underlying certificates.
12
13 To avoid that each user must search and install the required root
14 certificates, and also check and authenticate the trustworthiness of
15 the same, it is useful to install a system-wide default of the most
16 important root certificates:
17
18 1.  Store the root certificates
19
20      Copy root certificate file to:
21
22         %ProgramData%\GNU\etc\gnupg\trusted-certs
23
24      e.g.:
25
26         C:\ProgramData\GNU\etc\gnupg\trusted-certs
27
28      The corresponding root certificates must be available as files in DER
29      format in the above file folder, with the file extension .crt or .der.
30
31      You get the root certificates from the respective CA administrators.
32      CA operators often provide their root certificates also on websites
33      for download.
34
35      If the above folder is not visible?
36      Please read the reference note to the view options [1].
37
38
39 2.  Store intermediate certificates
40
41      Some Certificate Authorities require additional intermediate
42      certificates.
43
44      Copy intermediate certificates to:
45
46          %ProgramData%\GNU\etc\gnupg\extra-certs
47
48      e.g.:
49
50          C:\ProgramData\GNU\etc\gnupg\extra-certs
51
52      The format is the same as the root certificates.
53
54
55 3.  Set root trust
56
57      a) Open the following file with a text editor:
58
59         %ProgramData%\GNU\etc\gnupg\trustlist.txt
60
61      e.g.:
62
63         C:\ProgramData\GNU\etc\gnupg\trustlist.txt
64
65      b) Create a new line per root certificate with the corresponding
66         fingerprint, such as:
67
68          <FINGERPRINT> S
69
70          You get the fingerprint from the CA operators (often
71          available from the website where you can download the root
72          certificate).  Alternatively, you can get the fingerprint
73          also via the command line tool "sha1sum" from the binary root
74          certificate file (those files usually have a suffix of
75          ".crt:, ".bin", ".cert" or ".cer"):
76
77            sha1sum < <ROOT-CERTIFICATE-FILE>
78
79          A row that begins with # will be treated as a comment and ignored.
80          The end of the file must be followed by an empty row.
81
82          Example of two entries with comments:
83            # CN=Wurzel ZS 3,O=Intevation GmbH,C=DE
84            A6935DD34EF3087973C706FC311AA2CCF733765B S
85
86            # CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE
87            DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S
88
89          In some cases it is useful to reduce the criteria for
90          checking the root certificate.  To do this, you can set an
91          additional flag relax after the S:
92
93          <FINGERPRINT> S relax
94
95
96 3.  Complete Gpg4win installation and restart computer
97
98      a) Enable the option "Root certificate defined or skip configuration".
99
100      b) Complete the Gpg4win installation wizard regular.
101
102      c) Restart your computer! (Required because the DirMngr have to
103         read your root certificates from step (1).)
104
105      Now, you have finished your S/MIME configuration successfully.
106
107 4.  Review later in Kleopatra: Import and check certificate chains
108
109      Open Kleopatra and import your X.509 certificate chains.  The
110      imported certificate chains should appear under the tab "Trusted
111      Certificates". Gpg4win recognizes your imported root certificates
112      as trusted.
113
114      Problems? Kleopatra doesn't shows your root certificate as
115      trusted?  Solutions:
116
117      * Click on the "Redisplay" button in Kleopatra to update the
118        certificate view.
119
120      * Add "relax" after the relevant root certificate in the
121        trustlist.txt - see step (2).
122
123 --
124 For more information, see the Gpg4win Compendium, chapter 22:
125      http://gpg4win.org/doc/en/gpg4win-compendium_28.html
126
127 [1] Note to view options in Windows Explorer:
128
129     Ensure that you have enabled the folder option "Show hidden files
130     and folders".  You find this option under:
131
132       File > Folder and Search Options > Ansicht