FAQ für Administrator:innen

Dies ist eine Liste häufig von Nutzern gestellter Fragen von Administrator:innen. Wir haben darüber hinaus eine FAQ-Sammlung für Fragen von Benutzer:innen erstellt.

Zur User-FAQ

Zertifikate / Public keys

Welchen S/MIME-Zertifikaten vertraut GnuPG VS-Desktop und wie fügt man weitere Wurzelzertifikate hinzu?

GnuPG VS-Desktop hat ein eigenes Verzeichnis und Einstellungen für global akzeptierte X.509 Zertifikate, da gemäß der Zulassung nur Zertifikate einer PKI, die den Anforderungen der BSI TR-03145 Secure CA operation gerecht wird, für VS-NfD verwendet werden dürfen.

Wir liefern eine Konfiguration aus, bei der einige gängige zugelassene Zertifizierungsstellen enthalten sind, z.B. die PCA-1-Verwaltung.

Wie Sie weitere Zertifizierungsstellen hinzufügen können, entnehmen Sie bitte der Beschreibung "Hinzufügen neuer Wurzel Zertifikate".

Ein Zertifikat wird trotz Vertrauen in dessen Root-CA nicht als gültig angezeigt

Sie haben einem Root CA vertraut, trotzdem wird einer davon abgeleitete Zwischen-CA nicht vertraut. Dies tritt i.d.R. auf, wenn die CRL (Certificate Revokation List) eines Zertifikats nicht abgerufen werden kann. Dies wäre bei Offline-Systemen der Fall, aber auch bei Systemen mit starker Filterung bzw. einem Proxy.

Zur Fehleranalyse können Sie in der Eingabeaufforderung aufrufen: 

gpgsm --with-validation -k "Zertifikatsname"

Dann wird eine Fehlerursache benannt.

Falls ihr Netzwerkzugang über ein Proxy erfolgt, müssen Sie dieses in den Registry Einstellungen für GnuPG VS-Desktop konfigurieren, siehe see S/MIME proxy Configuration.

Falls Sie GnuPG VS-Desktop auf einem Offline-System betreiben und S/MIME Zertifikate verwenden wollen, müssen Sie in den Einstellungen von Kleopatra unter "S/MIME - Prüfung" die Option "Nie Sperrlisten zu Rate ziehen" aktivieren. Damit dies VS-NfD konform ist, müssen sie die Sperrlistenprüfung dann regelmäßig auf einem anderen Rechner mit Onlinezugang vornehmen.

Performance und Scripting

Kann die Verschlüsselung von großen Datenmengen beschleunigt werden?

Die Verschlüsselung auf der Kommandozeile ist generell schneller als mit dem grafischen Frontend Kleopatra. Bei großen auf einmal zu verschlüsselnden Datenmengen kann es sich daher lohnen, dies auf der Kommandozeile zu tun.

Sonstiges

Welche Einstellungen sind durch die Nutzer änderbar?

Unter %ProgramData%\GNU\etc\gnupg\dirmngr.conf werden bei der Installation Konfigurationstemplates abgelegt. Diese werden über die Registry angepasst. In den Templates sind Optionen einer Gruppe mit [force] markiert oder nicht. Die [force] Markierung bewirkt, dass diese Optionen nicht vom Nutzer geändert werden können. Sie sind in der Kleopatra Konfiguration ausgegraut, falls überhaupt angezeigt.

Die Optionen, die ein Nutzer in der Default-Konfiguration ändern kann, haben wir auf der Seite "Verbose Description of VSD Registry Settings" mit OPTION[user] markiert.

Sofern nicht anderweitig angemerkt, sind diese Seiten: Copyright 2024 g10 Code GmbH. Die Erstellung und Verbreitung wortgetreuer Kopien auf beliebigen Medien ist erlaubt, sofern auch diese Genehmigung erhalten bleibt. Weitere Details im Impressum & Datenschutzerklärung. Diese Seite wurde zuletzt geändert am: 2024-05-04.