fbusse
Anmeldungsdatum: 3. November 2006
Beiträge: 413
|
Wo finde ich eine Anleitung zum Arbeiten mit S/MIME-Zertifikaten mit einer aktuellen Kontact/KMail-Installation? Weder Signieren, noch Verschlüsseln funktionieren (zumindest bei mir, aka "out-of-the-box"). S/MIME-signierte eMails, die in anderen Programmen völlig korrekt erscheinen, werden in KMail mit einer Fehlermeldung verziert... 😕 Der Wiki-Eintrag schweigt sich zu S/MIME komplett aus, das "KDE-Handbuch zu KMail" gibt nichts konkretes her - und im Netz finde ich bisher nur Problemlösungen zu sehr viel älteren Versionen.
|
tomtomb
Anmeldungsdatum: 3. November 2005
Beiträge: Zähle...
|
Hallo fbusse,
ich nutze aktuell kontact 1.3 mit s/mime und es funktioniert einwandfrei. Schau mal hier:
http://forum.ubuntuusers.de/topic/wie-nutze-ich-mein-s-mime-zertifikat-in-kmail/?highlight=smim#post-366640 Gruß
|
tomtomb
Anmeldungsdatum: 3. November 2005
Beiträge: 3
|
Auch in der Vorgängerversion (mit kde 3.5) hat es so funktioniert
|
mgraesslin
Anmeldungsdatum: 8. November 2006
Beiträge: 9183
|
Versuch mal kleopatra zu installieren. Ist glaube ich keine muss-Abhängigkeit, wird aber meines Wissens nach für S/MIME benötigt.
|
fbusse
(Themenstarter)
Anmeldungsdatum: 3. November 2006
Beiträge: 413
|
tomtomb schrieb: Schau mal hier:
Danke, diesen Beitrag von kusanax und die Anleitung von Floyd zur manuellen Nacharbeit einer Datei ~/.gnupg/trustlist.txt (aus August/September 2006) hatte ich schon gefunden. Soll das tatsächlich - nach mehr als zwei Jahren - immer noch der Standardweg zum Umgang mit einem Standardfall im (laut Wiki) "wahrscheinlich ausgereiftesten Groupware-Client für Linux" sein? Ich fasse es nicht! martingr schrieb: Versuch mal kleopatra zu installieren.
Kleopatra ist installiert. Das behebt zwar immerhin schon mal die Fehlermeldung "Der Zertifikatmanager lässt sich nicht starten". Aber (in anderen Systemen seit Jahren problemlos genutzte!) Zertifikate werden damit immer noch nicht vernünftig erkannt.
|
fbusse
(Themenstarter)
Anmeldungsdatum: 3. November 2006
Beiträge: 413
|
fbusse schrieb: Soll das tatsächlich der Standardweg zum Umgang mit einem Standardfall sein?
Na also denn nach Floyd... 😕 kleopatra (und damit automatisch auch die "required" pinentry-qt, gnupg-agent und gnupg2) waren schon installiert, Alle verfügbaren Root-Zertifikate von Thawte (16 Stück, für meine eigene Signatur) und WEB.DE (4 Stück, für die Signatur eines Freundes) geladen, Root-Zertifikate (erfolgreich) in kleopatra importiert, /.gnupg/trustlist.txt angelegt (gab's vorher nicht) und "sha1_fpr"-Einträge aller Zertifikate zeilenweise eingefügt
Für mein Zertifikat wird das Thawte-Rootzertifikat und für das Zertifikat meines Freundes das WEB.DE-Rootzertifikat nach Kontact-Neustart nun zwar in der "Kette" korrekt angezeigt, aber alle signierten eMails (auch meine eigenen) erscheinen immer noch mit gelbem Rahmen und der Fehlermeldung Es sind nicht genügend Informationen zur Überprüfung der Gültigkeit der Signatur vorhanden.
Status: Keine Status-Informationen verfügbar. Prüfprotokoll nicht verfügbar. Auch nach dieser Prozedur steht unter Einstellungen → KMail einrichten... → Identitäten → Ändern... → Kryptografie mein Zertifikat weder zur Unterschrift, noch zum Verschlüsseln zur Verfügung. Das darf doch nicht wahr sein: Ich arbeite seit Jahren vorzugsweise mit Thawte-, aber auch diversen anderen Zertifikaten völlig problemlos sowohl mit Outlook (unter Win$) als auch mit Thunderbird (in beiden Welten!). - Wenn "der ausgereifteste Groupware-Client für Linux" diese Funktionalität nicht einmal ansatzweise mit ähnlichem Komfort (so automatisiert, dass man's beim Arbeiten praktisch nicht bemerkt) bieten kann, ist das nun wirklich ein Armutszeugnis!
|
mgraesslin
Anmeldungsdatum: 8. November 2006
Beiträge: 9183
|
Ich gib dir Recht, dass das keine optimale Lösung ist. Bin aber überzeugt, dass man das hinbekommt. Ich selber nutze PGP kann also keine Erfahrungswerte liefern. Wie sehen denn deine Einstellungen unter KMail → Einstellungen → KMail Konfigurieren → Sicherheit → S/MIME Validation aus. Ich denke da könnte man einige Warnungen abschalten. Zum Beispiel sehe ich da ein "Do not check certificate policies".
|
floyd
Anmeldungsdatum: 5. November 2004
Beiträge: Zähle...
Wohnort: München
|
Bei mir werden die Emails nach wie vor korrekt angezeigt. Ich gehe also davon aus dass meine Anleitung noch funktioniert. Allerdings kann ich dir nichts zum signieren oder verschlüsseln sagen, da ich dazu GnuPG verwende. Vielleicht probiere ich es aber einmal aus.... Melde mich dann eventuell wieder
|
fbusse
(Themenstarter)
Anmeldungsdatum: 3. November 2006
Beiträge: 413
|
martingr schrieb: Wie sehen denn deine Einstellungen unter KMail → Einstellungen → KMail Konfigurieren → Sicherheit → S/MIME Validation aus.
siehe Snapshot
Ich denke da könnte man einige Warnungen abschalten.
Gibt's irgendwo eine Erklärung (gern auch auf englisch) zu den diversen Optionen? Ich schalte so ungern etwas an oder ab, wovon ich so garnicht weis, was es ist... 😕
|
mgraesslin
Anmeldungsdatum: 8. November 2006
Beiträge: 9183
|
fbusse schrieb: Gibt's irgendwo eine Erklärung (gern auch auf englisch) zu den diversen Optionen? Ich schalte so ungern etwas an oder ab, wovon ich so garnicht weis, was es ist... 😕
Ich kenne keine - heißt aber nicht, dass es keine gibt. Ich würde mal "Zertifikatseinstellungen nicht überprüfen" ausprobieren. Du benutzt ja noch KDE 3.5 und da gab es bei GnuPG einen Bug, der das Versenden von Verschlüsselten E-Mails nicht erlaubte, wenn man dem Empfänger nicht ultimativ traute. Denkbar dass der gleiche Bug auch für S/MIME existiert.
|
floyd
Anmeldungsdatum: 5. November 2004
Beiträge: 87
Wohnort: München
|
So.
Habe mir gerade ein neues Zertifikat erstellt und in Kontact integriert. (KDE 4.1.3)
Signieren funktioniert einwandfrei.
Habe keine besonderen Einstellungen vorgenommen. In den Einstellungen ist aktiviert: *Zertifikatseinstellungen nicht überprüfen *CRLs niemals verwenden *Fehlende Ausstellerzertifikate herunterladen Wenn ich CRLs niemals verwenden deaktivere, beschwert er sich allerdings über ein fehlendes root-Zertifikat.
Sollte man vielleicht mal importieren. 😉
|
fbusse
(Themenstarter)
Anmeldungsdatum: 3. November 2006
Beiträge: 413
|
floyd schrieb: Habe mir gerade ein neues Zertifikat erstellt und in Kontact integriert. (KDE 4.1.3)
Vielen Dank für Deine Mühe! (Ich werde mit KDE4 wohl noch bis mindestens Ende Januar - auf die 4.2-Release 🇬🇧 - warten...)
Signieren funktioniert einwandfrei.
Bei mir nicht: Mein Thawte-Zertifikat ist nun zwar in der Zertifikatsverwaltung (kleopatra) scheinbar korrekt aufgeführt, steht aber in Kontact/KMail als "S/MIME-Unterschriftzertifikat" nicht zur Auswahl (siehe Snapshot). Interessanter Weise steht es gleichwohl als "S/MIME-Verschlüsselungszertifikat" zur Verfügung - was mir aber zum Signieren nicht wirklich etwas nützt... 😕
In den Einstellungen ist aktiviert: * Zertifikatseinstellungen nicht überprüfen * CRLs niemals verwenden * Fehlende Ausstellerzertifikate herunterladen
Habe bei mir (nach Deinem Hinweis) die Option "CRLs niemals verwenden" aktiviert: Danach werden eMails, zu deren Signatur ich die Root-Zertifikate mittlerweile installiert habe, als korrekt signiert erkannt. "Zertifikatseinstellungen nicht überprüfen" und "Fehlende Ausstellerzertifikate herunterladen" hat dagegen keinen erkennbaren Effekt (auch nicht im Hinblick auf das eigene Signieren, s. o.) Apropos KDE4: gibt's bei Dir im Handbuch zu Kontact möglicher Weise inzwischen eine Erklärung zu den Optionen?
|
floyd
Anmeldungsdatum: 5. November 2004
Beiträge: 87
Wohnort: München
|
Das Handbuch habe ich nicht installiert. Informationen zu CRLs findest du zu Beginn auf http://de.wikipedia.org/wiki/Zertifikatsperrliste Ich denke es ist in Ordnung, dass zu deaktivieren. Alternativ kannst du dir vielleicht auch irgendwo CRLs besorgen und einbinden.
Vielleicht geht es ja dann auch.
|
fbusse
(Themenstarter)
Anmeldungsdatum: 3. November 2006
Beiträge: 413
|
floyd schrieb: Das Handbuch habe ich nicht installiert.
Nachvollziehbar - wenn es erfahrungsgemäß die wesentlichen Informationen nicht enthält. Aber mensch sollte doch die Hoffnung nicht aufgeben... 😉
Informationen zu CRLs [...] Ich denke es ist in Ordnung, dass zu deaktivieren.
CRLs sind also so eine Art Sicherung der Sicherung. OK, das erscheint für den Heimanwender eher "oversized". Was mich nur noch irritiert ist der Umstand, dass KMail mein eigenes Zertifikat erst nach Deaktivieren dieser Sicherung akzeptiert. Heißt das jetzt, dass es in irgendeiner CRL aufgeführt ist? (ggf.: In welcher?) - Oder ist das doch weniger ein "Feature" als ein "Bug"?
|
mgraesslin
Anmeldungsdatum: 8. November 2006
Beiträge: 9183
|
Nur eine Idee: es gibt eine globale Zertifikatsverwaltung in KDE. Schon mal versucht es dort zu importieren. Geht glaube ich über die Einstellungen des Konquerors.
|