|
|
|
|
| 22 Wo finde ich die Dateien und Einstellungen von Gpg4win? | Inhalt |
Die persönlichen Einstellungen für jeden Anwender befinden sich
im Dateiordner %APPDATA%\gnupg. Oft entspricht das dem
Dateiordner:
C:\Dokumente und Einstellungen\<name>\Anwendungsdaten\gnupg\
Beachten Sie, dass es sich um einen versteckten Dateiordner handelt. Um es sichtbar zu schalten, müssen Sie im Explorer über das Menü Extras -> Ordneroptionen im Reiter Ansicht die Option Alle Dateien und Ordner anzeigen unter der Gruppe Versteckte Dateien und Ordner aktivieren.
In diesem Dateiordner befinden sich sämtliche persönlichen GnuPG-Daten, also die persönlichen Schlüssel, Zertifikate, Vertrauensstellungen und Konfigurationen. Bei einer Deinstallation von Gpg4win wird dieser Ordner nicht gelöscht. Denken Sie daran, sich regelmäßig Sicherheitskopien von diesem Ordner anzulegen.
Der systemweite Dienst ,,DirMngr" (Directory Manager) prüft unter anderem, ob ein X.509-Zertifkat gesperrt ist und daher nicht verwendet werden darf. Dafür werden Sperrlisten (CRLs) von den Ausgabestellen der Zertifikate (,,Trust-Center") abgeholt und für die Dauer ihrer Gültigkeit zwischengespeichert.
Abgelegt werden diese Sperrlisten unter:
C:\Dokumente und Einstellungen\LocalService\LokaleEinstellungen\Anwendungsdaten\GNU\cache\dirmngr\crls.d\
Hierbei handelt es sich um geschützte Dateien, die standardmäßig vom Explorer nicht angezeigt werden. Sollten Sie dennoch die Anzeige dieser Dateien wünschen, deaktivieren Sie die Option Geschützte Systemdateien ausblenden in den Ansicht-Einstellungen des Windows Explorer.
In diesem Dateiordner sollten keine Änderungen vorgenommen werden.
Für eine vollständige Prüfung von X.509-Zertifkaten muss auch den Wurzelzertifkaten vertraut werden, mit deren Hilfe die Sperrlisten signiert wurden.
Die Wurzelzertifkate, denen der DirMngr bei den Prüfungen vertrauen soll, müssen im folgenden Dateiordner abgelegt werden:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\etc\dirmngr\trusted-certs\als Dateien im Dateiformat DER mit Dateinamens-Erweiterung .crt oder .der im o.g. Dateiordners vorliegen.
Der DirMngr läuft als systemweiter Dienst und muss nach Änderungen im „trusted-certs“-Dateiordner neu gestartet werden. Anschließend sind die dort abgelegten Wurzelzertifikate für alle Anwender als vertrauenswürdig gesetzt.
Beachten Sie auch Abschnitt 22.6, um den Wurzelzertifikaten vollständig (systemweit) zu vertrauen.
Wenn vor einer Krypto-Operation die X.509-Zertifizierungskette zu prüfen ist, ist somit auch das jeweiliges Zertifkat der Zertifizierungsstelle („Certificate Authority“, CA) zu prüfen.
Für eine direkte Verfügbarkeit können CA-Zertifikate in diesem (systemweiten)
Dateiordner abgelegt werden:
C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\GNU\lib\dirmngr\extra-certs\
Zertifkate, die nicht hier oder bei den Anwendern vorliegen, müssen entweder automatisch von X.509-Zertifikatsservern geladen werden. Alternativ können Zertifikate auch immer manuell importiert werden.
Es ist also sinnvoll im Rahmen von systemweiten Vorgaben hier die wichtigsten CA-Zertifkate abzulegen.
GnuPG kann so konfiguriert werden, dass bei Bedarf fehlende X.509-Zertifkate oder Sperrlisten auf externen X.509-Zertifikatsserver gesucht werden.
Der Systemdienst ,,DirMngr" verwendet dafür die Liste der Dienste, die
in der Datei
C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\GNU\etc\dirmngr\ldapservers.conf
angegeben sind.
Sind im internen Netz die Zugänge zu externen Zertifikatsservern per LDAP gesperrt, so kann man in dieser Datei einen Proxy-Dienst für entsprechende Durchleitung konfigurieren, wie folgende Zeile im Beispiel illustriert:
proxy.mydomain.example:389:::O=myorg,C=de
Die genaue Syntax für die Einträge lautet übrigens:
HOSTNAME:PORT:USERNAME:PASSWORD:BASE_DN
Die systemweit als vertrauenswürdig vorbelegten Wurzelzertifkate
werden definiert in der Datei
C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\GNU\etc\gnupg\trustlist.txt
Die genaue Syntax für die Einträge lautet hier:
<FINGERPRINT> S
Anschließend muss eine Leerzeile folgen.
Also z.B.:BA90087D0C6C7F4DEAF00907BCFA2133DDC8CA90 S
Wichtig: Damit Wurzelzertifikate in Kleopatra vollständig als
vertrauenswürdig markiert werden (Zertifikat wird blau hinterlegt),
müssen die Wurzelzertifikate zusätzlich für den DirMngr abgelegt
werden, wie unter Abschnitt 22.3
beschrieben.
Wurzelzertifikate können auch jeweils von den einzelnen Benutzern als vertrauenswürdig markiert werden - eine systemweite Konfiguration (siehe Abschnitt 22.3 und 22.6) ist dann nicht erforderlich.
Öffnen Sie das Kleopatra-Menü Einstellungen -> Kleopatra
einrichten und anschließend die Gruppe GnuPG-System und dann
GpgAgent.
Aktivieren Sie hier die Option Erlaube Aufrufern
Schlüssel als 'vertrauenswürdig' zu markieren. Dadurch werden Sie
beim Gebrauch eines bisher nicht vertrauenswürdig eingestuften
Wurzelzertifkats gefragt, ob Sie es nun als vertrauenswürdig einstufen wollen.
Beachten Sie, dass der gpg-agent ggf. neu gestartet werden muss
(z.B. durch ausloggen und wieder einloggen).
|
|
|
|
| 22 Wo finde ich die Dateien und Einstellungen von Gpg4win? | Inhalt |