15 Die Zertifikatsserver

15 Die Zertifikatsserver

Die Nutzung eines Zertifikatsservers zum Verbreiten Ihres öffentlichen (OpenPGP- oder X.509-) Zertifikats wurde bereits im Abschnitt 6.2 einführend erläutert. Dieses Kapitel beschäftigt sich mit den Details von Zertifikatsservern und zeigt Ihnen, wie sie diese mit Kleopatra nutzen können.

Zertifikatsserver können von allen Programmen benutzt werden, die den OpenPGP- bzw. X.509-Standard unterstützen.

Kleopatra unterstützt zwei Arten von Zertifikatsservern:

OpenPGP-Zertifikatsserver
X.509-Zertifikatsserver

OpenPGP-Zertifikatsserver: (im Englischen auch „key server“ genannt) sind dezentral organisiert und synchronisieren sich weltweit miteinander. Aktuelle Statistiken über ihre Zahl oder die Anzahl der dort liegenden OpenPGP-Zertifikate gibt es nicht. Dieses verteilte Netz von OpenPGP-Zertifikatsservern sorgt für eine bessere Verfügbarkeit und verhindert, dass einzelne Systemadministratoren Zertifikate löschen, um so die Kommunikation unmöglich zu machen („Denial of Service“-Angriff).
X.509-Zertifikatsserver: werden in der Regel von den Zertifizierungsstellen (CA) über LDAP bereitgestellt und auch als Verzeichnisdienste für X.509-Zertifikate bezeichnet.

15.1 Zertifikatsserver einrichten

Öffnen Sie den Konfigurationsdialog von Kleopatra: Einstellungen -> Kleopatra einrichten...

Legen Sie unter der Gruppe Zertifikatsserver einen neuen Zertifikatsserver an, indem Sie auf die Schaltfläche Neu klicken. Wählen Sie zwischen OpenPGP oder X.509.

Bei OpenPGP wird in die Liste ein voreingestellter OpenPGP-Zertifikatsserver mit der Serveradresse hkp://keys.gnupg.net (Port: 11371, Protokoll: hkp) hinzugefügt. Sie können diesen ohne Änderung direkt verwenden - oder Sie nutzen eine der vorgeschlagenen OpenPGP-Serveradressen von der nächsten Seite.

Bei X.509 erhalten Sie folgende Vorbelegungen für einen X.509-Zertifikatsserver: (Protokoll: ldap, Severname: server, Server-Port: 389). Vervollständigen Sie die Angaben zu Servername und Basis-DN Ihres X.509-Zertifikatsservers und überprüfen Sie den Server-Port.

Sollte Ihr Zertifikatsserver Benutzername und Passwort fordern, so aktivieren Sie die Option Benutzerauthentisierung notwendig und tragen Ihre gewünschten Angaben ein.

Der folgende Screenshot zeigt ein konfigurierten OpenPGP-Zertifikatsserver:

Bestätigen Sie abschließend Ihre Konfiguration mit [OK]. Ihr Zertifikatsserver ist nun erfolgreich eingerichtet.

Um sicherzugehen, dass Sie den Zertifikatsserver korrekt konfiguriert haben, ist es hilfreich z.B. eine Zerifikatssuche auf dem Server zu starten (Anleitung siehe Abschnitt ).

Proxy-Einstellung: Falls Sie einen Proxy in Ihrem

Netzwerk nutzen, sollten Sie die Zertifikatsserver-Adresse in der Spalte „Servername“ um den Parameter http-proxy=<proxydomain> ergänzen. Der vollständige Servername könnte also z.B. lauten: keys.gnupg.net http-proxy=proxy.hq. Kontrollieren und ggf. korrigieren können Sie die Zertifikatsserver-Konfigurationen auch in der Datei: %APPDATA%\gnupg\gpg.conf

OpenPGP-Zertifikatsserver-Adressen

Es wird empfohlen, nur moderne OpenPGP-Zertifikatsserver zu verwenden, da nur diese mit den neueren Merkmalen von OpenPGP umgehen können.

Hier eine Auswahl von gut funktionierenden Zertifikatsservern:

hkp://blackhole.pca.dfn.de
hkp://pks.gpg.cz
hkp://pgp.cns.ualberta.ca
hkp://minsky.surfnet.nl
hkp://keyserver.ubuntu.com
hkp://keyserver.pramberger.at
http://gpg-keyserver.de
http://keyserver.pramberger.at

Sollte Sie Probleme mit einer Firewall haben, so versuchen Sie am besten die Zertifikatsserver, deren URL mit http:// beginnen. Die Zertifikatsserver unter den Adressen

hkp://keys.gnupg.net (Vorauswahl von Kleopatra, siehe letzte Seite)
hkp://subkeys.pgp.net

sind ein Sammelpunkt für ein ganzes Netz dieser Server; es wird dann zufällig ein konkreter Server ausgewählt.

Achtung: Der Zertifikatsserver ldap://keyserver.pgp.com synchronisiert

sich nicht mit den anderen Servern und sollte i.d.R. nicht benutzt werden.

15.2 Zertifikate auf Zertifikatsserver suchen und importieren

Nachdem Sie mindestens einen Zertifikatsserver eingerichtet haben, können Sie nun dort nach Zertifikaten suchen und diese anschließend importieren.

Klicken Sie dazu in Kleopatra auf Datei -> Zertifikate auf Server suchen....

Sie erhalten einen Suchdialog, in dessen Eingabefeld Sie den Namen des Zertifikatsbesitzers, oder besser eindeutiger, seine E-Mail-Adresse oder sein Fingerabdruck des Zertifikats eingeben können.

Um die Details eines ausgewählten Zertifikats zu sehen, klicken Sie auf die Schaltfläche [Details...].

Möchten Sie nun eines der gefundenen Zertifikate in Ihre lokale Zertifikatssammlung hinzufügen? Dann selektieren Sie das Zertifikat aus der Liste der Suchergebnisse und klicken Sie auf [Importieren].

Kleopatra zeigt Ihnen anschließend einen Dialog mit den Ergebnissen des Importvorgangs an. Bestätigen Sie diesen mit [OK].

War der Import erfolgreich, finden Sie nun das ausgewählte Zertifikat in der Zertifikatsverwaltung von Kleopatra.

15.3 Zertifikate auf OpenPGP-Zertifikatsserver exportieren

Wenn Sie einen OpenPGP-Zertifikatsserver eingerichtet haben (siehe Abschnitt 15.1), genügt ein Mausklick und Ihr öffentliches OpenPGP-Zertifikat ist unterwegs rund um die Welt:

Wählen Sie Ihr OpenPGP-Zertifikat in Kleopatra aus und klicken anschließend auf den Menüeintrag: Datei -> Zertifikate nach Server exportieren....

Sie brauchen Ihr Zertifikat nur an irgendeinen der verfügbaren OpenPGP-Zertifikatsserver zu senden, denn fast alle synchronsieren sich weltweit miteinander. Es kann ein, zwei Tage dauern, bis Ihr OpenPGP-Zertifikat wirklich überall verfügbar ist, aber dann haben Sie ein „globales“ Zertifikat.

Sollten Sie Ihr Zertifikat exportieren ohne zuvor einen OpenPGP-Zertifikatsserver eingerichtet zu haben, so schlägt Ihnen Kleopatra den bereits voreingestellten Server hkp://keys.gnupg.net zur Verwendung vor.

15 Die Zertifikatsserver

Inhalt