https://wiki.habital.lv/index.php?action=history&feed=atom&title=KMailKMail - Revision history2026-04-24T17:54:23ZRevision history for this page on the wikiMediaWiki 1.39.13https://wiki.habital.lv/index.php?title=KMail&diff=8&oldid=prevEugene: Created page with "== KMail и gnupg == Необходимые пакеты: * kdepim * gnupg2-2.0.x Для использования gpg-агента в KDE надо создать файл "..."2013-08-20T10:03:38Z<p>Created page with "== KMail и gnupg == Необходимые пакеты: * kdepim * gnupg2-2.0.x Для использования gpg-агента в KDE надо создать файл "..."</p>
<p><b>New page</b></p><div>== KMail и gnupg ==<br />
Необходимые пакеты:<br />
* kdepim<br />
* gnupg2-2.0.x<br />
<br />
Для использования gpg-агента в KDE надо создать файл "~/.kde/env/gpg-agent.sh":<br />
#!/bin/sh<br />
eval "$(gpg-agent --daemon)"<br />
а также "~/.kde/shutdown/gpg-agent.sh":<br />
#!/bin/sh<br />
# the second field of the GPG_AGENT_INFO variable is the<br />
# process ID of the gpg-agent active in the current session<br />
# so we'll just kill that, rather than all of them :)<br />
[[ -n ${GPG_AGENT_INFO} ]] && kill `echo ${GPG_AGENT_INFO} | cut -d ':' -f 2`<br />
<br />
== Настройка KMail для работы с S/MIME. ==<br />
Для работы почтового клиента KMail с SSL-сертификатами необходимо, чтобы были установлены следующие программы:<br />
* openssl<br />
* libassuan<br />
* libgpg-error<br />
* libgcrypt<br />
* libksba<br />
* pinentry<br />
* gnupg2<br />
* gpgsm<br />
* gpgme<br />
* cryptplugin<br />
<br />
== Импорт ключей ==<br />
Выбрать ключи с p12-файла (keycert.p12):<br />
$ openssl pkcs12 -in keycert.p12 -out certs.pem -nodes<br />
Выбрать ключ из p12-файла:<br />
$ openssl pkcs12 -in certs.pem -export -out certkey.p12 -nocerts -nodes<br />
Затем импортировать pem-ключ в public-keyring:<br />
<!-- $ gpgsm --import certs.pem --><br />
$ gpgsm --call-protect-tool --p12-import --store certkey.p12<br />
Добавить доверительный oтпечаток (fingerprint) в файл ~/.gnupg/trustlist.txt. Для этого просмотреть все установленные ключи:<br />
$ gpgsm -kv<br />
Вывод на экране будет приблизительно таким:<br />
ID: 0xFFFFFFFFF23B35FF<br />
S/N: 00<br />
Issuer: /CN=Free SSL Certification Authority/OU=CA Authority Dep./O=StartCom Ltd./L=Eilat/ST=Israel/C=IL/EMail=admin@startcom.org<br />
aka: admin@startcom.org<br />
Subject: /CN=Free SSL Certification Authority/OU=CA Authority Dep./O=StartCom Ltd./L=Eilat/ST=Israel/C=IL/EMail=admin@startcom.org<br />
aka: admin@startcom.org<br />
validity: 2005-03-17 17:37:48 through 2035-03-10 17:37:48<br />
key type: 1024 bit RSA<br />
key usage: digitalSignature nonRepudiation keyEncipherment certSign crlSign<br />
chain length: unlimited<br />
fingerprint: 95:E6:AD:F8:D7:71:46:02:4D:D5:6A:21:B2:E7:3F:CD:F2:3B:35:FF<br />
<br />
ID: 0x515E4313<br />
S/N: 015001<br />
Issuer: /CN=StartCom Class1 Primary Email Free CA/OU=Secure Certificate Signing/O=StartCom Ltd./ST=Israel/C=IL/EMail=admin@startcom.org<br />
aka: (uri http://cert.startcom.org)<br />
Subject: /CN=StartCom Free Certificate Member/OU=Persona not validated/O=Eugene Misnik/L=Riga/C=LV/EMail=eugene@habital.svnets.lv<br />
validity: 2007-04-23 14:25:19 through 2008-04-22 14:25:19<br />
key type: 2048 bit RSA<br />
key usage: digitalSignature keyEncipherment dataEncipherment<br />
ext key usage: clientAuth (suggested), emailProtection (suggested)<br />
policies: 1.3.6.1.4.1.23223.1.1.3:N:<br />
fingerprint: 2C:4D:E6:6B:7D:F4:EC:86:5D:3C:AC:91:5A:37:04:94:51:5E:43:13<br />
<br />
Из вышепоказанного примера видно, если "Issuer" и "Subject" одни и те же, то это root CA сертификат. Если имеется "key usage", то версия 3. Иначе, версия 1.<br />
<br />
Если версия "root CA's certificate" 3, просто скопировать значение "fingerprint" в строку файла "trustlist.txt". Если же версия "root CA's certificate" - 1, надо добавить " S relax" в "fingerprint".<br />
<br />
Например, в вышеуказанном примере "root CA's certificate" имеет версию 3, поэтому следующая строка должна быть вписана в файл "trustlist.txt":<br />
95:E6:AD:F8:D7:71:46:02:4D:D5:6A:21:B2:E7:3F:CD:F2:3B:35:FF<br />
<br />
Тестирование.<br />
Чтобы убедиться, что и "gpgsm" и "gpg-агента" работают, создайте подпись следующим образом:<br />
<br />
$ gpgsm --detach-sign file > sig<br />
и введите пароль.<br />
<br />
Вы можете увидеть следующее предупреждение:<br />
dirmngr[nnnn]: no CRL available for issuer id NNNNN....<br />
<br />
Это будет в случае, когда CRL сервер не работает или CRL файлы на CRL сервере недоступны.<br />
<br />
Если "dirmngr" не отрарабатывет, вы можете блокировать проверки CRL, помещая следующее в "~/.gnupg/gpgsm.conf":<br />
disable-crl-checks<br />
<br />
Или, если будет выводиться сообщение:<br />
gpgsm: error creating signature: Not trusted <GPG Agent><br />
то надо попробовать перезапустить gpg-agent (kill -HUP pid-ofgpg-agent).<br />
<br />
Повторите:<br />
$ gpgsm --detach-sign file > sig<br />
и вновь введите пароль.<br />
<br />
Если подпись создалась, то всё в порядке.<br />
Для проверки подписи сделайте следующее:<br />
$ gpgsm --verify sig file<br />
<br />
== Доверительность сертификатов ==<br />
В случае, если получено подписанное письмо, отмеченное как не доверительное, можно добавить отпечаток (fingerprint) сертификата издателя в файл "~/.gnupg/trustlist.txt". После чего подпись в письме будет отражаться как доверительная.</div>Eugene