Guten Tag,
ich bin ganz neu und habe keine Erfahrungen mit Zertifikaten und die Siegnieren und Verschlüsseln von Dateien.
Ich habe mir Gpg4Win in der Version 3.1.11 installiert.
Ich habe ein X509 Zertifikat, welches ich in Kleopatra importiert habe. Ich möchte jetzt versuchen eine Datei zu signieren. Leider kann ich unter „Signieren als“ keinen und damit auch nicht meinen Namen auswählen.
Auch unter „Für mich verschlüsseln“ habe ich keine Auswahl.
Unter für andere Verschlüsseln kann ich mein Zertifikat auswählen. Wenn ich es aber verschlüsseln will bekomme ich die Meldung, dass keines der Empfängerzertifikate mein Zertifikat ist. Kleopatra kennt mich allen Anschein nicht. Wie kann ist das korrigieren?
wie haben Sie das Zertifikat erstellt, bzw. den zugehörigen geheimen Schlüssel?
(Damit sie signieren können, muss ihrem System der geheime Schlüssel bekannt sein.
Das Zertifikat kann auch nur der öffentliche Teil sein. Weiterhin - und das ist nicht ganz leicht, muss die ganze Zertifikatskette vertrauenswürdig sein. Wenn es einmal konfiguriert ist, dann ist X509 gut zu verwenden, aber die Konfiguration selbst kann leider anspruchsvoll sein.)
Hallo Herr Reiter,
vielen Dank für die rasche Antwort.
Das Zertifikat wurde mir von der Zertifizierungsstelle DFN ausgestellt. (Dateiendung pem) Das konnte ich Importieren. Beim DFN konnte ich auch eine P12-Datei erstellen. Die kann ich leider nicht importieren. Hier bekomme ich die Fehlermeldung „Ungültiges Objekt“
Der Tipp mit der Zertifizierungskette könnte ein Weg sein. Da kann ich mal sehen, ob ich das hinbekomme. Es gibt auch eine Beschreibung in der Doku.
Lieben Dank erst mal. Ich werde versuchen die Zertifizierungskette zu konfigurieren und melde mich wieder.
z.B. gpgsm --import -vv x.p12
oder gpgsm --debug-all -vvv --import
(Achtung, die Ausgabe kann vertrauliche Daten enthalten, bitte nicht weitergeben oder hierherschicken.)
Hallo Frau Rosemeyer,
ja, leider ist X509 echt nicht leicht zu konfigurieren. Gilt aber für alle Implementation,
die ich bisher gesehen habe. Liegt aus meiner Sicht an X509.
Tut mir leid, dass es bei Ihnen nicht geklappt hat.
Können Sie mir noch sagen, was der Importversuch auf der Kommandozeile
grob gesagt hat? (Weil der muss ja zuerst gehen und “ungültiges Objekt” ist irgendwie
seltsam.) Hat das DFN eigentlich jemanden, den wir für ein Testzertifikat mal fragen könnten. Wir machen GnuPG gern sehr kompatibel.
danke für die Ausgabe, sie zeigt ein Problem welches unserer Parser
mit der Struktur hat. (Sie sind nach einem Kennwort gefragt worden, nehme ich an,
sonst nochmal schreiben.) Ohne Testfall ist das schwer zu analysieren.
Insofern nochmal Danke fürs Anfragen, wenn der DFN eine technische Kontaktperson hat
oder ein Testzertifikat, könnten wir zumindest mal drauf schauen, was das Problem ist und wo es technisch liegen könnte. (Sie können uns das auch gern per Mail schicken, falls Sie möchten, z.B. an bernhard.reiter@intevation.de (OpenPGP Schlüssel per WKD erhältlich))
um es gut testen zu können, sollte ein Zertifikat sein, dass genauso ist,
wie das, was Sie verwenden wollten. Ich bin mir nicht sicher, ob das für “Serverzertifikat” zutrifft, also ob ein “Serverzertifikat” vergleichbar genug ist und die gleiche technische Situation auslöst. Es könnte aber ausreichend sein, weil dort ja auch ein privater Schlüsselteil übermittelt werden soll. Wenn Sie möchten, können wir das ausprobieren.
hier haben wir kurz darüber gesprochen: Die Unterstützung für einen pkcs12-Import
durch GnuPG ist technisch sehr begrenzt, es kann also sein, dass die DFN Zertifikate ganz in Ordnung sind, aber GnuPGs Import-Werkzeug nicht damit zurecht kommt.
Eine Umgehung des Problems wäre vielleicht das pkcs12 Format mit Hilfe eines anderen Werkzeuges umzuwandeln, als Idee von mir kämen OpenSSL oder gnuTLS mal für einen Versuch in Frage.
Viele Grüße,
Bernhard Reiter
ps.: Habe ich hier geschrieben, um es auch für andere zu dokumentieren.
Wenn mehr Leute welche DFN-Zertifikate nutzen ein Interesse daran haben, dass dieser Teil des PKC12 Imports besser implementiert wird, dann ließe sich das technisch sicherlich machen. Da es aber vermutliche keine kleine Sache ist, geht es nicht eben nebenbei.