S/MIME, PKCS12: Dateien signieren und verschlüsseln | Kleopatra kennt mich nicht

Guten Tag,
ich bin ganz neu und habe keine Erfahrungen mit Zertifikaten und die Siegnieren und Verschlüsseln von Dateien.

Ich habe mir Gpg4Win in der Version 3.1.11 installiert.
Ich habe ein X509 Zertifikat, welches ich in Kleopatra importiert habe. Ich möchte jetzt versuchen eine Datei zu signieren. Leider kann ich unter „Signieren als“ keinen und damit auch nicht meinen Namen auswählen.

Auch unter „Für mich verschlüsseln“ habe ich keine Auswahl.

Unter für andere Verschlüsseln kann ich mein Zertifikat auswählen. Wenn ich es aber verschlüsseln will bekomme ich die Meldung, dass keines der Empfängerzertifikate mein Zertifikat ist. Kleopatra kennt mich allen Anschein nicht. Wie kann ist das korrigieren?

Herzlichen Dank
Gisela Rosemeyer

DatenSignieren.JPG

Hallo Frau Rosemeyer,

wie haben Sie das Zertifikat erstellt, bzw. den zugehörigen geheimen Schlüssel?

(Damit sie signieren können, muss ihrem System der geheime Schlüssel bekannt sein.
Das Zertifikat kann auch nur der öffentliche Teil sein. Weiterhin - und das ist nicht ganz leicht, muss die ganze Zertifikatskette vertrauenswürdig sein. Wenn es einmal konfiguriert ist, dann ist X509 gut zu verwenden, aber die Konfiguration selbst kann leider anspruchsvoll sein.)

Viele Grüße,
Bernhard Reiter

Hallo Herr Reiter,
vielen Dank für die rasche Antwort.
Das Zertifikat wurde mir von der Zertifizierungsstelle DFN ausgestellt. (Dateiendung pem) Das konnte ich Importieren. Beim DFN konnte ich auch eine P12-Datei erstellen. Die kann ich leider nicht importieren. Hier bekomme ich die Fehlermeldung „Ungültiges Objekt“

Der Tipp mit der Zertifizierungskette könnte ein Weg sein. Da kann ich mal sehen, ob ich das hinbekomme. Es gibt auch eine Beschreibung in der Doku.

Lieben Dank erst mal. Ich werde versuchen die Zertifizierungskette zu konfigurieren und melde mich wieder.

Liebe Grüße
Gisela Rosemeyer

Hallo Frau Rosemeyer,

vermutlich ist der private Teil des Schlüsselpaares dann in der P12 Datei.
Der Import ist also ein wichtiger Schritt.

Versuchen die den Import auf der Kommandozeile mit mehr Diagnose Ausgabe.
(https://wiki.gnupg.org/TroubleShooting#Command_line_operations)

z.B. gpgsm --import -vv x.p12
oder gpgsm --debug-all -vvv --import
(Achtung, die Ausgabe kann vertrauliche Daten enthalten, bitte nicht weitergeben oder hierherschicken.)

Gruß,
Bernhard Reiter

Hallo Herr Reiter,
ich habe alles möglich probiert.Alles ohne Erfolg.

Ich danke Ihnen herzliche für Ihre Hilfe. Aber ich bekomme das nicht zum Laufen. Ich gebe auf.

Vielen Dank für Ihre Unterstützung.
Bleiben Sie gesund.
Gisela Rosemeyer

Hallo Frau Rosemeyer,
ja, leider ist X509 echt nicht leicht zu konfigurieren. Gilt aber für alle Implementation,
die ich bisher gesehen habe. Liegt aus meiner Sicht an X509.

Tut mir leid, dass es bei Ihnen nicht geklappt hat.

Können Sie mir noch sagen, was der Importversuch auf der Kommandozeile
grob gesagt hat? (Weil der muss ja zuerst gehen und “ungültiges Objekt” ist irgendwie
seltsam.) Hat das DFN eigentlich jemanden, den wir für ein Testzertifikat mal fragen könnten. Wir machen GnuPG gern sehr kompatibel.

Gruß,
Bernhard Reiter

Hallo Herr Reiter,
hier erst mal die Ausgabe:

C:\Program Files (x86)\GnuPG\bin>gpgsm --import -vv Gisela_Rosemeyer_2020-05-04.p12
gpgsm: data error at “data.objectidentifier”, offset 67
gpgsm: error at “bag-sequence”, offset 49
gpgsm: error parsing or decrypting the PKCS#12 file
gpgsm: gesamte verarbeitete Anzahl: 0

Ich frage beim DFN mal an. Wir könnten GnuPG wirklich gut gebrauchen.

Herzlichen Dank
Gisela Rosemeyer

Hallo Frau Rosemeyer,

danke für die Ausgabe, sie zeigt ein Problem welches unserer Parser
mit der Struktur hat. (Sie sind nach einem Kennwort gefragt worden, nehme ich an,
sonst nochmal schreiben.) Ohne Testfall ist das schwer zu analysieren.

Insofern nochmal Danke fürs Anfragen, wenn der DFN eine technische Kontaktperson hat
oder ein Testzertifikat, könnten wir zumindest mal drauf schauen, was das Problem ist und wo es technisch liegen könnte. (Sie können uns das auch gern per Mail schicken, falls Sie möchten, z.B. an bernhard.reiter@intevation.de (OpenPGP Schlüssel per WKD erhältlich))

Viele Grüße,
Bernhard Reiter

Hallo Frau Rosemeyer,
haben Sie beim DFN etwas herausgefunden?

Viele Grüße,
Bernhard Reiter

Guten Tag Herr Reiter,
ich kann ein Serverzertifikat als Testzertifikat beantragen. Würde Ihnen das was helfen?

Liebe Grüße
Gisela Rosemeyer
Es ist leider nicht ganz leicht mit den Zuständigkeiten.

Hallo Frau Rosemeyer,

um es gut testen zu können, sollte ein Zertifikat sein, dass genauso ist,
wie das, was Sie verwenden wollten. Ich bin mir nicht sicher, ob das für “Serverzertifikat” zutrifft, also ob ein “Serverzertifikat” vergleichbar genug ist und die gleiche technische Situation auslöst. Es könnte aber ausreichend sein, weil dort ja auch ein privater Schlüsselteil übermittelt werden soll. Wenn Sie möchten, können wir das ausprobieren.

(Meine Email-Adresse ist weiterhin bernhard.reiter@intevation.de)

Viele Grüße,
Bernhard Reiter

Hallo Frau Rosemeyer,

hier haben wir kurz darüber gesprochen: Die Unterstützung für einen pkcs12-Import
durch GnuPG ist technisch sehr begrenzt, es kann also sein, dass die DFN Zertifikate ganz in Ordnung sind, aber GnuPGs Import-Werkzeug nicht damit zurecht kommt.

Eine Umgehung des Problems wäre vielleicht das pkcs12 Format mit Hilfe eines anderen Werkzeuges umzuwandeln, als Idee von mir kämen OpenSSL oder gnuTLS mal für einen Versuch in Frage.

Viele Grüße,
Bernhard Reiter
ps.: Habe ich hier geschrieben, um es auch für andere zu dokumentieren.
Wenn mehr Leute welche DFN-Zertifikate nutzen ein Interesse daran haben, dass dieser Teil des PKC12 Imports besser implementiert wird, dann ließe sich das technisch sicherlich machen. Da es aber vermutliche keine kleine Sache ist, geht es nicht eben nebenbei.

Nachtrag:
Zwei Anwendene berichten, dass ein Umweg über Importieren und Exportieren des
privaten Teils des Zertifikats per Firefox funktioniert.

Viele Grüße,
Bernhard Reiter

Nachtrag2,
den Hinweis habe ich nun auch auf Englisch, hier https://wiki.gnupg.org/X.509
eingetragen.