Kapitel 6. Handbuch für den Systemverwalter

Dieses Handbuch für den Systemverwalter beschreibt Möglichkeiten, Kleopatra zu konfigurieren, die nicht über die grafische Benutzerschnittstelle, sondern nur über Konfigurationsdateien erreichbar sind.

Wir gehen hier davon aus, dass der Leser mit der Technologie zum Konfigurieren von KDE-Applikationen vertraut ist. Dazu gehören das Format, die Lage im Dateisystem und das Kaskadieren von KDE-Konfigurationsdateien, sowie das KIOSK-System.

Anpassung des Assistenten zum Erzeugen von Zertifikaten

Anpassung der DN-Felder

Sie können in Kleopatra die Felder anpassen, die der Benutzer ausfüllen muss, um ein Zertifikat zu erzeugen.

Legen Sie eine Gruppe namens CertificateCreationWizard in der systemweiten kleopatrarc-Datei an. Wenn Sie die Reihenfolge der Attribute verändern wollen, oder nur bestimmte Elemente anzeigen wollen, dann definieren Sie einen Schlüssel namens DNAttributeOrder. Das Argument besteht aus einem oder mehreren der Elementen CN,SN,GN,L,T,OU,O,PC,C,SP,DC,BC,EMAIL. Wenn Sie Felder mit einem bestimmten Wert initialisieren wollen, dann schreiben Sie Attribut=Wert. Wenn das Attribut obligatorisch sein soll, dann fügen Sie ihm ein Ausrufungszeichen an (wie in CN!,L,OU,O!,C!,EMAIL!, der Standardeinstellung).

Mit dem KIOSK-Modus-Modifikator $e können Sie Werte aus Umgebungsvariablen oder einem ausgewerteten Skript oder Binärprogramm verwenden. Wenn Sie außerdem noch das Editieren des entsprechenden Feldes verhindern wollen, verwenden Sie den Modifikator $i. Wenn Sie die Benutzung der Schaltfläche Meine Adresse einfügen verbieten wollen, dann setzen Sie ShowSetWhoAmI auf false.

Tipp

Aufgrund der Funktionsweise des KIOSK-Systems von KDE, ist es für den Benutzer unmöglich, den Schalter $i zu überschreiben. Das ist das beabsichtigte Verhalten. $i und $e können auch bei allen anderen Konfigurationsschlüsseln in KDE-Applikationen verwendet werden.

Das folgende Beispiel zeigt mögliche Anpassungen:

[CertificateCreationWizard]
;Persönliche Daten dürfen nicht aus dem Adressbuch kopiert werden;
;lokales Überschreiben ist verboten
ShowSetWhoAmI[$i]=false

;Benutzername mit $USER vordefinieren
CN[$e]=$USER

;Firmenname mit "Meine Firma" vordefinieren; editieren verbieten
O[$i]=Meine Firma

;Den Abteilungsnamen mit dem Rückgabewert eines Skripts vordefinieren
OU[$ei]=$(lookup_dept_from_ip)

; das Land mit DE vordefinieren, aber Änderungen durch den Benutzer zulassen
C=DE

Beschränkung der Schlüsselarten, die ein Benutzer erzeugen darf

In Kleopatra kann auch die Art der Zertifikate beschränkt werden, die ein Benutzer erzeugen darf. Beachten Sie aber, das diese Einschränkungen leicht umgangen werden können, indem das Zertifikat in einer Konsole auf der Befehlszeile generiert wird.

Algorithmen für öffentliche Schlüssel

Um den verwendeten Algorithmus für öffentliche Schlüssel zu beschränken, fügen Sie den Einrichtungsschlüssel PGPKeyType und CMSKeyType (für CMS-Typen wird nur RSA unterstützt) zum Abschnitt CertificateCreationWizard in der Datei kleopatrarc ein.

Die erlaubten Werte sind RSA für RSA-Schlüssel, DSA für DSA-Schlüssel (nur zur Signierung) und DSA+ELG für einen DSA-Schlüssel (nur zur Signierung) mit einem Elgamal-Unterschlüssel zum Verschlüsseln.

Der Standardwert wird aus der Datei GpgConf eingelesen. Ist hier kein Standard eingetragen, wird RSA verwendet.

Größe des öffentlichen Schlüssels

Um die mögliche Schlüsselgröße für einen öffentlichen Algorithmus zu beschränken, fügen Sie den Einrichtungsschlüssel <ALG>KeySizes (erlaubte Werte für ALG RSA, DSA oder ELG) zum Abschnitt CertificateCreationWizard der Datei kleopatrarc ein. Tragen Sie als Wert eine durch Kommata getrennte Liste von Schlüsselgrößen in Bit ein. Der Standardwert wird durch das Voranstellen eines Bindestrichs (-) gekennzeichnet.

RSAKeySizes = 1536,-2048,3072
            

In diesem Beispiel sind nur RSA-Schlüsselgrößen von 1536, 2048 und 3072 Bit erlaubt, der Standardwert ist 2048 Bit.

Zusätzlich zur Größe selbst können Sie auch Marken für jede Größe bestimmen. Geben Sie dazu für den Einrichtungsschlüssel ALGKeySizeLabels ein durch Kommata getrennte Liste von Marken ein.

RSAKeySizeLabels = weak,normal,strong
            

Zusammen ergeben die beiden oben genannten Beispiele die folgende Möglichkeit zur Auswahl:

weak (1536 bits)
              normal (2048 bits)
              strong (3072 bits)
            

Die Standardwerte entsprechen der folgenden Vorgabe:

RSAKeySizes = 1536,-2048,3072,4096
              RSAKeySizeLabels =
              DSAKeySizes = -1024,2048
              DSAKeySizeLabels = v1,v2
              ELGKeySizes = 1536,-2048,3072,4096