;; HOWTO-SMIME.de.txt                               -*- coding: latin-1; -*-
;; This is a HOWTO installed with Gpg4win. Lines with a ; in the first
;; column are considered a comment and not included in the actually
;; installed version.  Certain keywords are replaced by the Makefile;
;; those words are enclosed by exclamation marks.
Um S/MIME-Zertifikate zum Signieren und Verschlsseln zu verwenden,
mssen Sie die Vertrauenswrdigkeit der X.509-Wurzel-Zertifikate
festlegen.

Ein Wurzel-Zertifikat (auch: Root-CA) dient dazu, die Gltigkeit aller
untergeordneten Zertifikate zu berprfen. Wird dem Wurzel-Zertifikat
vertraut, so vertraut man damit auch allen darunter liegenden
Zertifikaten.

Um zu vermeiden, dass jeder Anwender selbst die notwendigen
Wurzel-Zertifikate suchen und installieren sowie deren
Vertrauenswrdigkeit prfen und beglaubigen muss, ist eine systemweite
Vorbelegung der wichtigsten Wurzel-Zertifikate als Administrator wie
folgt sinnvoll:

1.  Ablegen der Wurzel-Zertifikate

     Kopieren Sie eine Wurzel-Zertifikats-Datei nach:

        %ProgramData%\GNU\etc\gnupg\trusted-certs

     z.B.:

        C:\ProgramData\GNU\etc\gnupg\trusted-certs

     Die Wurzel-Zertifikate mssen als Dateien im Format DER mit der
     Dateinamens-Erweiterung .crt oder .der abgelegt werden.

     Sie bekommen die Wurzel-Zertifikate von den jeweiligen CA-Administratoren.
     Oftmals bieten die CA-Betreiber ihre Wurzel-Zertifikate auch auf Webseiten
     zum Download an.

     Ist der o.g. Ordner nicht sichtbar?
     Beachten Sie den Hinweis zu den Ansichts-Optionen [1].


2.  Ablegen der Zwischen-Zertifikate

     Einige Zertifikats-Aussteller bentigen zustzlich
     Zwischen-Zertifikate.

     Kopieren Sie Zwischen-Zertifikate nach:

         %ProgramData%\GNU\etc\gnupg\extra-certs

     z.B.:

         C:\ProgramData\GNU\etc\gnupg\extra-certs

     Das Format ist das gleiche wie bei Wurzel-Zertifikaten.


3.  Wurzel-Vertrauen setzen

     a) ffnen Sie die folgende Datei mit einem Texteditor:

        %ProgramData%\GNU\etc\gnupg\trustlist.txt

     z.B.:

        C:\ProgramData\GNU\etc\gnupg\trustlist.txt

     b) Pro Wurzel-Zertifikat erstellen Sie eine Zeile mit dem
        zugehrigen Fingerabdruck, wie:

         <FINGERABDRUCK> S

         Den Fingerabdruck bekommen Sie direkt vom CA-Betreiber
         (oftmals verfgbar ber die Webseite, wo das Zertifikat zum
         Download angeboten wird).  Alternativ knnen sie den
         Fingerabdruck auch mit Hilfe des Kommandozeilenwerkzeugs
         "sha1suml" aus der binren Datei mit dem Wurzel-Zertifikat
         (diese Dateien haben blicherweise eine Endung von ".crt:,
         ".bin", ".cert" oder ".cer"):

           sha1sum < <ROOT-CERTIFICATE-FILE>

         Wenn eine Zeile in der trustlist.txt mit einem "#"-Zeichen
         beginnt, ist diese Zeile ein Kommentar.  Abschlieend (am
         Ende der Datei) muss eine Leerzeile erfolgen.

         Beispiel fr zwei Eintrge mit Kommentar:

           # CN=Wurzel ZS 3,O=Intevation GmbH,C=DE, eintragen Bernhard 20101021
           A6935DD34EF3087973C706FC311AA2CCF733765B S

           # CN=PCA-1-Verwaltung-02/O=PKI-1-Verwaltung/C=DE
           DC:BD:69:25:48:BD:BB:7E:31:6E:BB:80:D3:00:80:35:D4:F8:A6:CD S

         Es kann in einigen Fllen sinnvoll sein, die Kriterien bei
         der berprfung der Wurzel-Zertifikate zu verringern. Sie
         knnen dazu hinter "S" eine weitere Flagge "relax" setzen:

           <FINGERABDRUCK> S relax


3.  Gpg4win-Installation abschlieen und Rechner neu starten

     a) Aktivieren Sie "Wurzel-Zertifikte festgelegt oder berspringen".

     b) Beenden Sie den Gpg4win-Installationsassistenten regulr.

     c) Starten Sie Ihren Rechner neu! (Erforderlich, damit der DirMngr
        Ihre unter (1) abgelegten Wurzel-Zertifikate neu einliest.)

     Damit haben Sie die Konfiguration von S/MIME erfolgreich abgeschlossen.

4.  berprfung spter in Kleopatra: Zertifikatsketten importieren

     ffnen Sie Kleopatra und importieren Sie Ihre X.509-Zertifikatsketten.
     Die importierten Zertifikatsketten sollten unter dem Reiter
     "Vertrauenswrdige Zertifikate" erscheinen. Damit erkennt Gpg4win Ihre
     importierten Wurzel-Zertifikate als vertrauenswrdig an.

     Probleme? Wird Ihr Wurzel-Zertifikat nicht als vertrauenswrdig angezeigt?
     Lsungsvorschlge:

     * Klicken Sie in Kleopatra einmal auf "Aktualisieren", um die
       Zertifikatsansicht zu aktualisieren.

     * Ergnzen Sie "relax" hinter dem betroffenen Wurzel-Zertifikat
       in der trustlist.txt - siehe Schritt (2).

--
Weiterfhrende Informationen finden Sie im Gpg4win-Kompendium, Kapitel 22:
     http://gpg4win.de/doc/de/gpg4win-compendium_28.html

[1] Hinweis zu Ansichts-Optionen:
     Stellen Sie sicher, dass Sie im Windows Explorer die nachfolgende
     Ordneransichts-Option "Alle Dateien und Ordner anzeigen" aktiviert haben.
     Sie erreichen diese Option unter:

      Datei > Ordner- und Suchoptionen > Ansicht
