|
|
|
|
| 22 Wo finde ich die Dateien und Einstellungen von Gpg4win? | Inhalt |
Die persönlichen Einstellungen für jeden Anwender befinden sich
im Verzeichnis %APPDATA%\gnupg. Oft entspricht das dem
Verzeichnis:
C:\Dokumente und Einstellungen\<name>\Anwendungsdaten\gnupg\
Beachten Sie, dass es sich um ein verstecktes Verzeichnis handelt. Um es sichtbar zu schalten, müssen Sie im Explorer über das Menü Extras -> Ordneroptionen im Reiter Ansicht die Option Alle Dateien und Ordner anzeigen unter der Rubrik Versteckte Dateien und Ordner aktivieren.
In diesem gnupg-Verzeichnis befinden sich sämtliche persönlichen GnuPG Daten, also die persönlichen Schlüssel, Zertifikate, Vertrauenseinstellungen und Programmkonfigurationen. Bei einer Deinstallation von Gpg4win wird dieses Verzeichnis nicht gelöscht. Denken Sie daran, sich regelmäßig Sicherheitskopieen von diesem Verzeichnis anzulegen.
Der systemweite Dienst ,,DirMngr" (Directory Manager) prüft unter anderem, ob ein X.509-Zertifkat gesperrt ist und daher nicht verwendet werden darf. Dafür werden Sperrlisten von den Ausgabestellen der Zertifikate (,,Trust-Center") abgeholt und für die Dauer ihrer Gültigkeit zwischengespeichert.
Abgelegt werden diese Sperrlisten unter:
C:\Dokumente und Einstellungen\LocalService\Lokale
Einstellungen\Anwendungsdaten\GNU\cache\dirmngr\crls.d\
Hierbei handelt es sich um geschützte Dateien, die standardmäßig vom Explorer nicht angezeigt werden. Sollten Sie dennoch die Anzeige dieser Dateien wünschen, deaktivieren Sie die Option Geschützte Systemdateien ausblenden in den Ansicht-Einstellungen des Windows Explorer.
In diesem Verzeichnis sollten keine Änderungen vorgenommen werden.
Für eine vollständige Prüfung von X.509-Zertifkats-Gültigkeiten muss auch den Wurzel-Zertifkaten vertraut werden, in deren Zertifizierungskette die Sperrlisten unterschrieben wurden.
Die Wurzel-Zertifkate, denen der DirMngr bei den Prüfungen vertrauen soll, müssen im folgenden Verzeichnis abgelegt werden:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GNU\DER-Dateien mit Dateinamen-Endung „.crt“ im o.g. Verzeichnis vorliegen.
Der DirMngr läuft als systemweiter Dienst und muss nach Änderungen im „trusted-certs“-Verzeichnis neu gestartet werden. Anschließend sind die dort abgelegten Wurzelzertifikaten für alle Anwender vertrauenswürdig.
Beachten Sie auch Abschnitt 22.6, um den Wurzel-Zertifikaten vollständig (systemweit) zu vertrauen.Um, wie oben beschrieben, die X.509-Zertifizierungskette zu prüfen sind auch die Zertifkate der Zertifizierungsstellen (Certificate Authorities, CAs) zu prüfen.
Für eine direkte Verfügbarkeit können sie in diesem (systemweiten) Verzeichnis abgelegt
werden:
C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\GNU\
lib\dirmngr\extra-certs\
Zertifkate, die nicht hier oder bei den Anwendern vorliegen, müssen entweder automatisch von LDAP-Servern geladen werden oder (falls so nicht verfügbar) per Hand importiert werden.
Es ist also sinnvoll im Rahmen von systemweiten Vorgaben hier die wichtigsten CA-Zertifkate abzulegen.
GnuPG kann so konfiguriert werden, dass bei Bedarf fehlende X.509-Zertifkate oder Sperrlisten auf externen Verzeichnisdiensten gesucht werden.
Der Systemdienst ,,DirMngr" verwendet dafür die Liste der Dienste, die
in der Datei
C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\GNU\
etc\dirmngr\ldapservers.conf
angegeben sind.
Sind im internen Netz die Zugänge zu externen LDAP-Servern gesperrt, so kann man in dieser Datei einen Proxy-Dienst für entsprechende Durchleitung konfigurieren, wie folgende Zeile im Beispiel illustriert:
proxy.mydomain.example:389:::O=myorg,C=de
Die genaue Syntax für die Einträge lautet übrigens:
HOSTNAME:PORT:USERNAME:PASSWORD:BASE_DN
Die systemweit als vertrauenswürdig vorbelegten Wurzel-Zertifkate werden
in der Datei
C:\Dokumente und Einstellungen\All
Users\Anwendungsdaten\GNU\
etc\gnupg\trustlist.txt
definiert.
Die genaue Syntax für die Einträge lautet hier:
FINGERPRINT S
also z.B.:BA90087D0C6C7F4DEAF00907BCFA2133DDC8CA90 S
vertrauenswürdig markiert werden (Zertifikat wird blau hinterlegt), müssen die Wurzel-Zertifikate zusätzlich für den DirMngr abgelegt werden, wie unter Abschnitt 22.3 beschrieben.
|
|
|
|
| 22 Wo finde ich die Dateien und Einstellungen von Gpg4win? | Inhalt |