ubuntuusers.de

Hi,

ich würde gerne das CACert.org Root Zertifikat in mein KDE importieren, damit mein Kmail per SSL mit meinem Server redet. Der Artikel CA-Cert hat mir aber leider nicht weitergeholfen. Kann mir da jemand helfen?

ich hab's ja schon im anderen Thread gesagt: ich helfe dir hier bis es klappt um es im Artikel nachtragen zu können ☺

In der Diskussion zum Artikel stehen schon ein paar Punkte drinnen auch in der Historie des Artikels sind ein paar Hinweise enthalten wie es gehen könnte. Ich selbst hab etwa eine Stunde lang rumgespielt und es nicht geschafft.

Wenn ich mich richtig erinnere, dann braucht man

• das Paket kleopatra

• muss man das Root Zertifikat in Konquerors Zertifikatverwaltung importieren

• für KMail verfügbar machen

• in Kleopatra noch mal importieren

• und hoffen dass es funktioniert

Hm.... also das ich da nicht von alleine drauf gekommen bin....

OK, ich habe mich Ausversehen nicht an diese Reihenfolge gehalten, geklappt hat es trotzdem.

1. Kleopatra installiert 2. Cert in Kleo importiert. 3. Cert in Konqi importiert und KMail verfügbar gemacht (Meldung von Kleo ist schon da). 4. Nochmal in Kleo importer, Meldung ist schon da

klappt.

Nutze das übrigens nur um POP3 und SMTP per SSL zu realisieren.

Danke für die Hilfe. Ich würde den Wiki Artikel updaten, aber das erscheint mir noch nicht ganz ausgegoren, ich denke reichen sollte 1 und 2, aber das scheint ja nicht der Fall zu sein.

Ich hatte urspruenglich folgendes Vorgehen fuer KDE 3.5.x unter Ubuntu Hardy 8.04 in CA-Cert in zwei Schritten beschrieben:

KMail¶

Unter Kubuntu 8.04 Hardy Heron muss zuerst der Zertifikatsmanager

* kleopatra (universe, ^[2])

(inkl. seiner automatischen Abhängigkeiten) installiert ^[1] werden. Um die Root-Zertifikate später in KMail nutzen zu können, müssen die Zertifikate auch in Konqueror importiert werden: "Einstellungen → Konqueror einrichten → Verschlüsselung → SSL-Unterzeichner → Importieren". Beim Import wird die Frage gestellt, ob das Zertifikat auch mit KMail genutzt werden soll. Diese Frage ist zu bejahen.

und

Unter Kubuntu 8.04 Hardy Heron sind für KMail zunächst einige Vorarbeiten notwendig. Für jedes Root-Zertifikat muss der Wert des sha1_fpr-Schlüssels mit Konqueror über "Ansicht → Zertifikatsdetails anzeigen → Ausgeben" kopiert und zeilenweise in die Datei ~/.gnupg/trustlist.txt eingefügt werden. Als nächstes wird in der Datei ~/gnupg/gpg.conf in der Zeile mit #use-agent das Zeichen # entfernt (oder die Zeile neu eingetragen). Das Ergebnis sieht so aus:

use-agent

Jetzt ist der Rechner neu zu starten. Nach dem erneuten Anmelden nun den Zertifikatsmanager kleopatra z.B. mit Alt+F2 starten und zunächst erneut die heruntergeladenen und abgespeicherten Root-Zertifikate über "Datei → Zertifikate importieren" einlesen. Anschließend das eigene Client-Zertifikat (.p12) importieren.

Nach diesen Vorarbeiten kann nun KMail konfiguriert werden. Im Programm Kontact wird über "Einstellungen → KMail einrichten → Identitäten → <Name der Identität> → Ändern → Kryptografie" sowohl das S/MIME-Unterschriftzertifikat als auch das S/MIME-Verschlüsselungszertifikat mit dem Knopf Ändern ausgewählt. Desweiteren müssen unter "Einstellungen → KMail einrichten → Sicherheit → S/MIME-Prüfung" die Häkchen bei den Optionen:

* Zertifikatseinstellungen nicht überprüfen

* CRLs niemals verwenden

* Fehlende Ausstellerzertikate herunterladen

gesetzt werden. Beim Erstellen einer neuen Nachricht kann diese nun je nach Bedarf signiert und/oder verschlüsselt werden.

Insgesamt etwas unlogisch, aber nach diesem Vorgehen funktioniert Signieren/Verschluesseln mit Kmail und S/MIME-Zertifikat (Ubuntu 8.04) bei mir bis heute. Leider hat sich bisher niemand gefunden, der dieses Vorgehen ausprobiert buw. nachvollzogen hat. Daher sind die entsprechenden Stellen im Wiki-Artikel (als Uebergangsloesung) auskommentiert.

Es waere prima, wenn weitere Nutzer das mal unter KDE4 ausprobieren und ihre Erfahrungen - am besten - in der Diskussion des Wiki-Artikels schildern koennten.

Hallo zusammen,

aasche schrieb:

Ich hatte urspruenglich folgendes Vorgehen fuer KDE 3.5.x unter Ubuntu Hardy 8.04 in CA-Cert in zwei Schritten beschrieben:

KMail¶

warum nicht mit Thunderbird? Das Paket 'ca-certificates' bringt die Zertifzierungsstellen mit - man braucht also nur das eigene Zertifikat einzuspielen. Und es läuft prima ☺

Gruß,
-jeck

@jecktr: vllt möchte man nicht Thunderbird benutzen ☺

martingr schrieb:

@jecktr: vllt möchte man nicht Thunderbird benutzen ☺

noch ein Punkt 😀

gruß

Hallo,

ich habe das Problem mit dem oben beschriebenden Vorgängen leider nicht lösen können. Neben K-Mail nutze ich auch noch Akonadi zur Syncronisation von Kontact und eGroupware. Der Server auf dem Beides verwaltet wird hat ein Zertifikat welches von CaCert signiert ist. Beim Rechnerstart bekomme ich dementsprechen Hinweise für die Zertifikate. Wenn ich auf "Dauerhaft" klicke wird dieses leider nur für die Session angenommen.

Ich nutze Kubuntu 9.04(64bit) mit KDE 4.2.

martingr schrieb:

• muss man das Root Zertifikat in Konquerors Zertifikatverwaltung importieren

• für KMail verfügbar machen

Für beide Schritte finde ich die Einstellungsmöglichkeiten nicht. Benutze KDE 4.3.5

Gruß, Peter.

Scumpeter schrieb:

martingr schrieb:

• muss man das Root Zertifikat in Konquerors Zertifikatverwaltung importieren

• für KMail verfügbar machen

Für beide Schritte finde ich die Einstellungsmöglichkeiten nicht. Benutze KDE 4.3.5

Gruß, Peter.

Ich habe das gleiche Problem, allerdings mit KDE 4.6.2.

Ich spiele ernsthaft mit dem Gedanken dauerhaft vom GNOME- zum KDE-Desktop zu wechseln, da der GNOME 3 anscheinend nie fertig wird (das Release wurde um sechs Monate verschoben), und auch Linus Torvalds den GNOME 3 scharf kritisiert hat, und das völlig zurecht.

Aber so lange ich meine E-Mails nicht wie bisher mit meinem CACert-Zertifikat signieren und verschlüsseln kann, kommt das für mich nicht in Frage. Es kann doch wohl echt nicht sein, dass man beim KDE4-Desktop anscheinend nicht in der Lage ist X.509-Zertifikate von CACert dafür zu verwenden, obwohl die CA-Zertifikate sowohl in Kleopatra als auch in der Systemverwaltung importiert sind. Sowohl KMail, als auch Konqueror (den ich übrigens zusätzlich installieren musste, was dann auch nichts gebracht hat) besitzen keine eigenen Verwaltungsmöglichkeiten für Zertifizierungsstellen.

Wenn ich, nach all den Imports, unter KMail das Zertifikat auswählen will, wird dessen Status erst als unbekannt (gelbes Fragezeichen) angezeigt. Aber sobald ich es dann aber wirklich in der Liste auswähle, wird es als nicht vertrauenswürdig (rotes Kreuz) angezeigt. Das hat zur Folge, dass ich die Auswahl nicht bestätigen kann.

Wie also lässt sich dieses Problem lösen?

LG

ZaHaDum

Moin ich selber nutze das nicht, hab das also weder ausprobiert noch Ahnung davon. Angeblich soll es gehen, wenn man in Kleopatra unter "Einstellungen → Kleopatra Einrichten → GnuPG System → GPG-Agent → Erlaube Aufrufern Schlüssel als "vertrauenswürdig" zu markieren" aktiviert.

tom_tom schrieb:

Hallo,

ich habe das Problem mit dem oben beschriebenden Vorgängen leider nicht lösen können. Neben K-Mail nutze ich auch noch Akonadi zur Syncronisation von Kontact und eGroupware. Der Server auf dem Beides verwaltet wird hat ein Zertifikat welches von CaCert signiert ist. Beim Rechnerstart bekomme ich dementsprechen Hinweise für die Zertifikate. Wenn ich auf "Dauerhaft" klicke wird dieses leider nur für die Session angenommen.

Ich nutze Kubuntu 9.04(64bit) mit KDE 4.2.

Kannst Du mir bezüglich Kontact → eGroupware in einen neuen Thread weiterhelfen?

HmpfCBR schrieb:

Moin ich selber nutze das nicht, hab das also weder ausprobiert noch Ahnung davon. Angeblich soll es gehen, wenn man in Kleopatra unter "Einstellungen → Kleopatra Einrichten → GnuPG System → GPG-Agent → Erlaube Aufrufern Schlüssel als "vertrauenswürdig" zu markieren" aktiviert.

Der Ansatz scheint der richtige zu sein, aber diese Einstellung tut anscheinend nicht das was sie soll. Auch nachdem ich diese Einstellung gespeichert und alles einmal neu gestartet habe, protokolliert der GPG-Agent auch weiterhin, dass das Setzen der Vertrauenswürdigkeit von Schlüsseln durch aufrufende Anwendungen nicht aktiviert sei.

Es sieht fast so aus, als hätte man bei Kleopatra mal wieder eine Einstellung in den Dialog aufgenommen, sie aber nicht implementiert. Das ist mir übrigens schon öfter negativ bei Kleopatra aufgefallen. 👿

Ich habe mich nun entschlossen unter KDE mit Thunderbird zu arbeiten. Der bringt seine eigene Zertifikatsverwaltung mir, und hat somit auch nicht das gleiche Problem wie KMail. Jede E-Mail Applikation die ich vorher benutzt bzw. ausprobiert habe, und das waren wirklich viele, hatten keinerlei Probleme mit CAcert-Zertifikaten. Nur KMail bleibt zickig. 👿 Dies nur als ein Denkanstoß für die Entwickler.

ZaHaDum schrieb:

HmpfCBR schrieb: Es sieht fast so aus, als hätte man bei Kleopatra mal wieder eine Einstellung in den Dialog aufgenommen, sie aber nicht implementiert. Das ist mir übrigens schon öfter negativ bei Kleopatra aufgefallen. 👿

Das glaube ich nicht. Wenn ich die Option aktiviere, wird die Datei ~/.gnupg/gpg-agent.conf geändert:

• Vorher:

###+++--- GPGConf ---+++###
debug-level basic
log-file socket:///home/dirk/.gnupg/log-socket
###+++--- GPGConf ---+++### Do 11 Aug 2011 13:47:13 CEST
# GPGConf edited this configuration file.
# It will disable options before this marked block, but it will
# never change anything below these lines.

Kleopatra Version 2.0.12

• Nachher:

###+++--- GPGConf ---+++###
debug-level basic
log-file socket:///home/dirk/.gnupg/log-socket
allow-mark-trusted
###+++--- GPGConf ---+++### Do 11 Aug 2011 13:47:39 CEST
# GPGConf edited this configuration file.
# It will disable options before this marked block, but it will
# never change anything below these lines.

Dies nur als ein Denkanstoß für die Entwickler.

Von denen liest hier glaube ich keiner mit.