[Gpg4win-users-de] WG: AW: No CRL known Meldung

Mi Jan 31 17:57:16 CET 2018

Hallo Jochen,

Am Mittwoch 31 Januar 2018 10:47:36 schrieb jochen.wargulski at fu-berlin.de:
> Wie schaffe ich, dass bei einer x.509 Signierung der CRL auch wirklich
> abgefragt werden.
>
> Ich nutze Outlook 2016 (64 Bit).
>
> Wenn ich GPG4Win abstelle und mit der S/MIME Funktion von Outlook arbeite,
> habe ich die Probleme nicht und die CRL werden abgefragt.

die S/MIME Funktionalität von Outlook selbst nutzt die Möglichkeiten des 
Betriebssystems. Gpg4win arbeitet mit GnuPG, welches seine eigenen 
Krypto-Funktionen nutzt und auch einen eigenen Speicher für Zertifikate und 
Sperrlisten hat.

> ps.: Vorab: Ich denke policies.txt brauchst Du nicht, es ist die CRL.

> > Vielen Dank für die Nachricht. Sobald ich die Überprüfung der Sperrlisten
> > abstelle, habe ich keine Probleme mit S/MINE unter Outlook 2016.

(Nun verwendest Du ja weiterhin GnuPG von Gpg4win.)
Das ist ein starker Hinweis darauf, dass es an den Sperrlisten liegt.

> > Ist evtl. eine policies.txt Datei anzulegen und wenn ja, wie mache ich
> > es? Habe im Kleopatra-Handbuch nichts gefunden.

Das stände in der technischen GnuPG Dokumentation, hier die Online Variante
https://gnupg.org/documentation/manuals/gnupg/GPGSM-Configuration.html#GPGSM-Configuration

> > gpgsm: certificate
> > #1C1B1E22541BFAAF5343141B/1.2.840.113549.1.9.1=#63614046552D4265726C696E2
> >E4 445,CN=Freie Universitaet Berlin - FU-CA - G01,OU=ZEDAT,O=Freie
> > Universitaet Berlin,L=Berlin,ST=Berlin,C=DE gpgsm: no CRL found for
> > certificate gpgsm: certificate is good
> > gpgsm: certificate #09CDA528/CN=DFN-Verein PCA Global -
> > G01,OU=DFN-PKI,O=DFN-Verein,C=DE gpgsm: no CRL found for certificate

Hier liegt eher das Problem, gibt es diese Zertifikate öffentlich?
Es lohnt sich da mal die Details anzusehen, vor allem die CRL 
Distributions-Punkte.

Das eine scheint es hier zu geben:
https://www.pki.fraunhofer.de/cmsExtern/de/ca-zertifikate-und-sperrlisten/fraunhofer-dfn-pki/496-dfn-verein-pca-global.html
Ist das hier das andere?
https://de.ssl-tools.net/subjects/d5f13aadf3e935c8b0a565679c095a42d5723bab

Gruß,
Bernhard

-- 
www.intevation.de/~bernhard   +49 541 33 508 3-3
Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998
Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 473 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.wald.intevation.org/pipermail/gpg4win-users-de/attachments/20180131/df660c57/attachment.asc>