20 Systemweite Konfiguration und Vorbelegung für S/MIME

Inhalt

20 Systemweite Konfiguration und Vorbelegung für S/MIME

Im Rahmen einer zentralen Softwareverteilung oder Umgebungen, in denen viele Anwender auf einem Rechner arbeiten, ist es sinnvoll, einige systemweite Vorgaben und Vorbelegungen für Gpg4win einzurichten.

Das betrifft vor allem S/MIME, denn bei vorgegebenen Vertrauensketten ist es sinnvoll, dass die Anwender die Informationen dazu miteinander teilen.

Einige typische systemweite Einstellungen sind:

Vertrauenswürdige Wurzelzertifikate:

Um zu vermeiden, dass jeder Anwender selbst die notwendigen Wurzelzertifikate suchen und installieren sowie deren Vertrauenswürdigkeit prüfen und beglaubigen muss (vgl. Abschnitt 22.7), ist eine systemweite Vorbelegung der wichtigsten Wurzelzertifikate sinnvoll.

Dazu sollten die Wurzelzertifikate abgelegt - wie in Abschnitt 22.3 beschrieben - und die vertrauenswürdigen Wurzelzertifikate definiert werden - wie in Abschnitt 22.6 beschrieben.

Direkt verfügbare CA-Zertifikate:

Um den Anwendern zusätzlich die Mühe zu ersparen, die Zertifikate der Beglaubigungsinstanzen (Certificate Authorities, CAs) zu suchen und zu importieren, ist auch hier eine systemweite Vorbelegung der wichtigsten CA-Zertifikate sinnvoll. Eine Beschreibung hierzu finden Sie im Abschnitt 22.4.

Proxy für Zertifikatsserver- und Sperrlisten-Suche:

Für die Gültigkeitsinformationen bieten die X.509-Protokolle verschiedene Möglichkeiten an. Von den meisten Zertifizierungsstellen werden Sperrlisten (auch CRLs genannt, nach RFC5280) und OSCP (nach RFC2560) unterstützt. OSCP bringt zeitnähere Informationen, hat aber den Nachteil, dass Netzverkehr bis zum OSCP-Dienst erfolgt und daran auch gut erkannt werden kann, mit welchen Partnern gerade Nachrichten ausgetauscht werden. GnuPG kann mit beiden Möglichkeiten umgehen, es ist die Komponente „DirMngr“ , welche als systemweiter Dienst läuft.

Es können interne Netzwerke keine direkten Verbindungen der einzelnen Rechner nach außen zulassen (zentrale Firewall), sondern einen Stellvertreterdienst (einen sogenannten „Proxy“) vorsehen. Der DirMngr kann ebenfalls mit HTTP- und LDAP-Proxies umgehen.

S/MIME-Zertifikate enthalten meist die Angabe, wo Ihre Sperrliste extern abgeholt werden kann. Oft kommt dabei HTTP vor, aber auch Verzeichnisdienste über LDAP. Anders als bei OpenPGP kann sich der Klient nicht aussuchen, wo er die Sperrliste abholen kann, er muss den verfügbaren Angaben folgen. Da manche Zertifikate ausschließlich Sperrlisten per LDAP zur Verfügung stellen, ist es erforderlich sowohl HTTP- als auch LDAP-Abfragen nach außen zuzulassen. Sofern möglich, kann ein Stellvertreterdienst auf Inhaltsebene sicherstellen, dass X.509-Sperrlisten ausschließlich mit korrekten Informationen übermittelt werden.

Ist in Ihrem Netzwerk für die bei OpenPGP bzw. S/MIME wichtigen HTTP- und HKP- oder LDAP-Abfragen ein Proxy nötig, so führen Sie folgende Schritte durch:

1. Stellen Sie X.509-Zertifikatsserver-Suche auf einen Proxy ein, wie in Abschnitt 22.5 beschrieben.
2. Stellen Sie Sperrlisten-Suche auf einen Proxy ein, wie ebenfalls in Abschnitt 22.5 beschrieben.
3. Starten Sie den DirMngr neu (siehe Abschnitt 21.7).

20 Systemweite Konfiguration und Vorbelegung für S/MIME

Inhalt