Added HOWTO files for SMIME configuration.
authorEmanuel Schuetze <emanuel.schuetze@intevation.de>
Tue, 2 Nov 2010 09:06:09 +0000 (09:06 +0000)
committerEmanuel Schuetze <emanuel.schuetze@intevation.de>
Tue, 2 Nov 2010 09:06:09 +0000 (09:06 +0000)
doc/ChangeLog
doc/HOWTO-SMIME.de.txt [new file with mode: 0644]
doc/HOWTO-SMIME.en.txt [new file with mode: 0644]

index 4bbc411..2942844 100644 (file)
@@ -1,3 +1,8 @@
+2010-11-02  Emanuel Schuetze <emanuel@intevation.de>
+
+       * HOWTO-SMIME.en.txt, HOWTO-SMIME.de.txt: Add new HOWTO files for SMIME
+         configuration (English file needs translation)
+
 2010-10-29  Emanuel Schuetze <emanuel@intevation.de>
 
        *  website/ShortStudy-Sustainable-FS-example-Gpg4win.htm4,
diff --git a/doc/HOWTO-SMIME.de.txt b/doc/HOWTO-SMIME.de.txt
new file mode 100644 (file)
index 0000000..fb84dd2
--- /dev/null
@@ -0,0 +1,102 @@
+(Um S/MIME-Zertifikate zum Signieren und Verschlüsseln zu verwenden, müssen Sie die Vertrauenswürdigkeit der X.509-Wurzelzertifikate festlegen.)\r
+\r
+Ein Wurzelzertifikat (auch: Root-CA) dient dazu, die Gültigkeit aller untergeordneten Zertifikate zu überprüfen. Wird dem Wurzelzertifikat vertraut, so vertraut man damit auch allen darunter liegenden Zertifikaten.\r
+\r
+Um zu vermeiden, dass jeder Anwender selbst die notwendigen Wurzelzertifikate suchen und installieren sowie deren Vertrauenswürdigkeit prüfen und beglaubigen muss, ist eine systemweite Vorbelegung der wichtigsten Wurzelzertifikate als Administrator wie folgt sinnvoll:\r
+\r
+1.  Ablegen der Wurzelzertifikate\r
+\r
+     Kopieren Sie eine Datei per Wurzelzertifikat nach:\r
+     [Windows 2000/XP]:\r
+        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\etc\\r
+        dirmngr\trusted-certs\\r
+     [Windows Vista/7]:\r
+        C:\ProgramData\GNU\etc\dirmngr\trusted-certs\r
+\r
+     Die Wurzelzertifikate müssen als Dateien im Format DER mit der \r
+     Dateinamens-Erweiterung .crt oder .der zu liegen kommen.\r
+\r
+     Sie bekommen die Wurzelzertifikate von den jeweiligen CA-Administratoren.\r
+     Oftmals bieten die CA-Betreiber ihre Wurzelzertifikate auch auf Webseiten\r
+     zum Download an.\r
+\r
+     Ist der o.g. Ordner nicht sichtbar? \r
+     Beachten Sie den Hinweis zu den Ansichtsoptionen [1].\r
+\r
+2.  Ultimativ vertrauenswürdig setzen\r
\r
+     a) Öffnen Sie die folgende Datei mit einem Texteditor:\r
+         [Windows 2000/XP]:\r
+           C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\etc\\r
+           gnupg\trustlist.txt\r
+         [Windows Vista/7]:\r
+           C:\ProgramData\GNU\etc\gnupg\trustlist.txt\r
+\r
+     b) Pro Wurzelzertifikat erstellen Sie eine Zeile mit dem\r
+         zugehörigen Fingerabdruck, wie:\r
+         <FINGERABDRUCK> S \r
+\r
+         Den Fingerabdruck bekommen Sie direkt vom CA-Betreiber (oftmals verfügbar \r
+         über die Webseite, wo das Zertifikat zum Download angeboten wird). \r
+         Alternativ können sie den Fingerabdruck auch mit Hilfe des \r
+         Kommandozeilenwerkzeugs "openssl" (nicht in Gpg4win enthalten) aus der \r
+         Wurzelzertifikatsdatei herausbekommmen:\r
+           openssl x509 -in <root-certificate> -noout -fingerprint -sha1\r
+      \r
+         Wenn eine Zeile in der trustlist.txt mit einem "#"-Zeichen beginnt, ist \r
+         diese Zeile ein Kommentar.\r
+         Abschließend (am Ende der Datei) muss eine Leerzeile erfolgen.\r
+\r
+         Beispiel für zwei Einträge mit Kommentar:\r
+           # CN=Wurzel ZS 3,O=Intevation GmbH,C=DE, eintragen Bernhard 20101021\r
+           A6935DD34EF3087973C706FC311AA2CCF733765B S\r
+\r
+           # CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE\r
+           DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S\r
+  \r
+         Es kann in einigen Fällen sinnvoll sein, die Kriterien bei der Überprüfung\r
+         der Wurzelzertifikate zu verringern. Sie können dazu hinter "S" eine weitere\r
+         Flagge "relax" setzen: <FINGERABDRUCK> S relax\r
+\r
+         Wichtig: Die Verwendung von relax setzt die Sicherheit herab, muss daher\r
+         individuell entschieden werden und sollte nur bei Problemen verwendet\r
+         werden.\r
+\r
+3.  Gpg4win-Installation abschließen und Rechner neu starten\r
+\r
+     a) Aktivieren Sie "Wurzelzertifikte festgelegt oder überspringen".\r
+\r
+     b) Beenden Sie den Gpg4win-Installationsassistenten regulär.\r
+\r
+     c) Starten Sie Ihren Rechner neu! (Erforderlich, damit der DirMngr\r
+        Ihre unter (1) abgelegten Wurzelzertifikate neu einliest.)\r
+\r
+     Damit haben Sie die Konfiguration von S/MIME erfolgreich abgeschlossen.\r
+\r
+4.  Überprüfung später in Kleopatra: Zertifikatsketten importieren\r
+\r
+     Öffnen Sie Kleopatra und importieren Sie Ihre X.509-Zertifikatsketten. \r
+     Die importierten Zertifikatsketten sollten unter dem Reiter \r
+     "Vertrauenswürdige Zertifikate" erscheinen. Damit erkennt Gpg4win Ihre\r
+     importierten Wurzelzertifikate als vertrauenswürdig an.\r
+\r
+     Probleme? Wird Ihr Wurzelzertifikat nicht als vertrauenswürdig angezeigt?\r
+     Lösungsvorschläge:\r
+     * Klicken Sie in Kleopatra einmal auf "Aktualisieren", um die \r
+        Zertifikatsansicht zu aktualisieren.\r
+     * Ergänzen Sie "relax" hinter dem betroffenen Wurzelzertifikat \r
+        in der trustlist.xtxt - siehe Schritt (2).\r
+\r
+--\r
+Diese Anleitung finden Sie zum späteren Nachlesen im Gpg4win-Startmenü unter "Dokumentation".\r
+\r
+Weiterführende Informationen finden Sie im Gpg4win-Kompendium, Kapitel 22:\r
+     http://gpg4win.de/doc/de/gpg4win-compendium_28.html\r
+\r
+[1] Hinweis zu Ansichtsoptionen:\r
+     Stellen Sie sicher, dass Sie im Windows Explorer die nachfolgende\r
+     Ordneransichts-Option "Alle Dateien und Ordner anzeigen"\r
+     aktiviert haben.\r
+     Sie erreichen diese Option unter:\r
+      [Windows 2000/XP]: Extras > Ordneroptionen > Ansicht\r
+      [Windows Vista/7]: Organisieren > Ordner- und Suchoptionen > Ansicht\r
diff --git a/doc/HOWTO-SMIME.en.txt b/doc/HOWTO-SMIME.en.txt
new file mode 100644 (file)
index 0000000..78b0eb3
--- /dev/null
@@ -0,0 +1,103 @@
+EN\r
+(Um S/MIME-Zertifikate zum Signieren und Verschlüsseln zu verwenden, müssen Sie die Vertrauenswürdigkeit der X.509-Wurzelzertifikate festlegen.)\r
+\r
+Ein Wurzelzertifikat (auch: Root-CA) dient dazu, die Gültigkeit aller untergeordneten Zertifikate zu überprüfen. Wird dem Wurzelzertifikat vertraut, so vertraut man damit auch allen darunter liegenden Zertifikaten.\r
+\r
+Um zu vermeiden, dass jeder Anwender selbst die notwendigen Wurzelzertifikate suchen und installieren sowie deren Vertrauenswürdigkeit prüfen und beglaubigen muss, ist eine systemweite Vorbelegung der wichtigsten Wurzelzertifikate als Administrator wie folgt sinnvoll:\r
+\r
+1.  Ablegen der Wurzelzertifikate\r
+\r
+     Kopieren Sie eine Datei per Wurzelzertifikat nach:\r
+     [Windows 2000/XP]:\r
+        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\etc\\r
+        dirmngr\trusted-certs\\r
+     [Windows Vista/7]:\r
+        C:\ProgramData\GNU\etc\dirmngr\trusted-certs\r
+\r
+     Die Wurzelzertifikate müssen als Dateien im Format DER mit der \r
+     Dateinamens-Erweiterung .crt oder .der zu liegen kommen.\r
+\r
+     Sie bekommen die Wurzelzertifikate von den jeweiligen CA-Administratoren.\r
+     Oftmals bieten die CA-Betreiber ihre Wurzelzertifikate auch auf Webseiten\r
+     zum Download an.\r
+\r
+     Ist der o.g. Ordner nicht sichtbar? \r
+     Beachten Sie den Hinweis zu den Ansichtsoptionen [1].\r
+\r
+2.  Ultimativ vertrauenswürdig setzen\r
\r
+     a) Öffnen Sie die folgende Datei mit einem Texteditor:\r
+         [Windows 2000/XP]:\r
+           C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\etc\\r
+           gnupg\trustlist.txt\r
+         [Windows Vista/7]:\r
+           C:\ProgramData\GNU\etc\gnupg\trustlist.txt\r
+\r
+     b) Pro Wurzelzertifikat erstellen Sie eine Zeile mit dem\r
+         zugehörigen Fingerabdruck, wie:\r
+         <FINGERABDRUCK> S \r
+\r
+         Den Fingerabdruck bekommen Sie direkt vom CA-Betreiber (oftmals verfügbar \r
+         über die Webseite, wo das Zertifikat zum Download angeboten wird). \r
+         Alternativ können sie den Fingerabdruck auch mit Hilfe des \r
+         Kommandozeilenwerkzeugs "openssl" (nicht in Gpg4win enthalten) aus der \r
+         Wurzelzertifikatsdatei herausbekommmen:\r
+           openssl x509 -in <root-certificate> -noout -fingerprint -sha1\r
+      \r
+         Wenn eine Zeile in der trustlist.txt mit einem "#"-Zeichen beginnt, ist \r
+         diese Zeile ein Kommentar.\r
+         Abschließend (am Ende der Datei) muss eine Leerzeile erfolgen.\r
+\r
+         Beispiel für zwei Einträge mit Kommentar:\r
+           # CN=Wurzel ZS 3,O=Intevation GmbH,C=DE, eintragen Bernhard 20101021\r
+           A6935DD34EF3087973C706FC311AA2CCF733765B S\r
+\r
+           # CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE\r
+           DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S\r
+  \r
+         Es kann in einigen Fällen sinnvoll sein, die Kriterien bei der Überprüfung\r
+         der Wurzelzertifikate zu verringern. Sie können dazu hinter "S" eine weitere\r
+         Flagge "relax" setzen: <FINGERABDRUCK> S relax\r
+\r
+         Wichtig: Die Verwendung von relax setzt die Sicherheit herab, muss daher\r
+         individuell entschieden werden und sollte nur bei Problemen verwendet\r
+         werden.\r
+\r
+3.  Gpg4win-Installation abschließen und Rechner neu starten\r
+\r
+     a) Aktivieren Sie "Wurzelzertifikte festgelegt oder überspringen".\r
+\r
+     b) Beenden Sie den Gpg4win-Installationsassistenten regulär.\r
+\r
+     c) Starten Sie Ihren Rechner neu! (Erforderlich, damit der DirMngr\r
+        Ihre unter (1) abgelegten Wurzelzertifikate neu einliest.)\r
+\r
+     Damit haben Sie die Konfiguration von S/MIME erfolgreich abgeschlossen.\r
+\r
+4.  Überprüfung später in Kleopatra: Zertifikatsketten importieren\r
+\r
+     Öffnen Sie Kleopatra und importieren Sie Ihre X.509-Zertifikatsketten. \r
+     Die importierten Zertifikatsketten sollten unter dem Reiter \r
+     "Vertrauenswürdige Zertifikate" erscheinen. Damit erkennt Gpg4win Ihre\r
+     importierten Wurzelzertifikate als vertrauenswürdig an.\r
+\r
+     Probleme? Wird Ihr Wurzelzertifikat nicht als vertrauenswürdig angezeigt?\r
+     Lösungsvorschläge:\r
+     * Klicken Sie in Kleopatra einmal auf "Aktualisieren", um die \r
+        Zertifikatsansicht zu aktualisieren.\r
+     * Ergänzen Sie "relax" hinter dem betroffenen Wurzelzertifikat \r
+        in der trustlist.xtxt - siehe Schritt (2).\r
+\r
+--\r
+Diese Anleitung finden Sie zum späteren Nachlesen im Gpg4win-Startmenü unter "Dokumentation".\r
+\r
+Weiterführende Informationen finden Sie im Gpg4win-Kompendium, Kapitel 22:\r
+     http://gpg4win.de/doc/de/gpg4win-compendium_28.html\r
+\r
+[1] Hinweis zu Ansichtsoptionen:\r
+     Stellen Sie sicher, dass Sie im Windows Explorer die nachfolgende\r
+     Ordneransichts-Option "Alle Dateien und Ordner anzeigen"\r
+     aktiviert haben.\r
+     Sie erreichen diese Option unter:\r
+      [Windows 2000/XP]: Extras > Ordneroptionen > Ansicht\r
+      [Windows Vista/7]: Organisieren > Ordner- und Suchoptionen > Ansicht\r