Nieuwe sleutelparen aanmaken

Het menu-item BestandNieuw certificaat... (Ctrl+N) start de Assistent voor aanmaken van een sleutelpaar die u door een aantal stappen voor het aanmaken van een certificaatverzoek.

Wanneer u klaar bent met een stap in de assistent, druk dan op Volgende om naar de volgende stap (of Terug om stappen te herzien die al zijn voltooid). Het maken van het certificaatverzoek kan op elk moment worden geannuleerd door op de knop Annuleren te drukken.

Op de eerste pagina van de assistent kiest u welk type certificaat u wilt aanmaken:

Een persoonlijk OpenPGP-sleutelpaar aanmaken

OpenPGP sleutelparen worden lokaal aangemaakt en gecertificeerd door uw vrienden en bekenden. Er is geen centrale certificatieautoriteit; in plaats daarvan kan elk individu een persoonlijk "Web van vertrouwen" door andere sleutelparen te certificeren met zijn eigen certificaat.

U moet een Naam, E-mailadres en optioneel Commentaar invoeren.

Een persoonlijk X.509-sleutelpaar en certificatieverzoek aanmaken

Sleuteparen voor X.509 worden lokaal aangemaakt, maar centraal gecertificeerd door een certificatieautoriteit (CA). Een CA kan een andere CA certificeren, waardoor een centrale, hiërarchische keten van vertrouwen ontstaat.

De volgende stap in de assistent is het invoeren van uw persoonlijke gegevens voor het certificaat. De in te vullen velden zijn:

  • Algemene naam/Common Name (CN): Uw naam;

  • E-mailadres (EMAIL): Uw e-mailadres; let er goed op dat dit juist is—dit zal worden gebruikt als het adres waar mensen e-mail naar zenden wanneer ze uw certificaat gebruiken.

  • Locatie (L): Het dorp of de stad waarin u woont;

  • Organizational unit (OU): De eenheid in uw organisatie waarin u zich bevindt (bijvoorbeeld, "Administratie");

  • Organisatie (O): De organisatie die u vertegenwoordigt (bijvoorbeeld, het bedrijf waarvoor u werkt);

  • Country code/landencode (C): De tweeletterige code voor het land waarin u woont (bijvoorbeeld, "NL");

De volgende stap in de assistent is het selecteren of het certificaat in een bestand moet worden opgeslagen of direct verzenden naar een CA. U zult de bestandsnaam of het e-mailadres, waarnaar het certificaatverzoek verzonden moet worden, moeten specificeren.

Een sleutel intrekken

Een verlopen sleutelpaar kan teruggebracht worden in een operationele status zolang u toegang hebt tot de privé sleutel en de wachtwoordzin. Om een sleutelpaar betrouwbaar onbruikbaar te maken moet u het terugtrekken. Terugtrekken wordt gedaan door een speciale handtekening voor terugtrekken aan de sleutel toe te voegen.

Deze handtekening voor terugtrekken is als een apart bestand opgeslagen. Dit bestand kan later geïmporteerd worden in de sleutelring en wordt dan vastgeplakt aan de sleutel waarmee het onbruikbaar wordt. Merk op dat bij het importeren van deze ondertekening naar de sleutel geen wachtwoord is vereist. Daarom moet u deze ondertekening voor terugtrekken op een veilige plek opslaan, gewoonlijk een plek die verschilt van waar uw sleutelpaar is opgeslagen. Een goed advies is om een plek te kiezen die apart van uw computer is, kopieer deze ofwel naar een externe opslag zoals een USB-stick of druk deze af.

Kleopatra biedt geen functie voor het aanmaken van zo'n handtekening voor intrekken op welk moment dan ook, maar u kunt dat doen met de KDE-toepassing KGpg door te kiezen SleutelsSleutel intrekken en, naar keuze, de handtekening voor intrekken direct in uw sleutelring te importeren.

Een alternatieve manier voor het maken van een "revocation certificate" is met gebruik van GPG direct vanaf de commandoregel: gpg --output revocation_certificate.asc --gen-revoke uw_sleutel. Het argument uw_sleutel moet een sleutel specificeren, ofwel de sleutel-ID van uw primaire sleutelpaar of een deel van een gebruikers-ID dat uw sleutelpaar identificeert.