~/.gnupg/trustlist.txt ručně (je možné povolit spravovnání pomocí gpg-agenta, ale to není z bezpečnostních důvodů doporučováno, lidi moc často všechno odklikají 
.Portál AbcLinuxu, 3. května 2025 08:50
Hledáním způsobu, jak označit certifikát za důvěryhodný pro použití v KMailu jsem strávil poměrně dost času, tak se o něj podělím.
KDE používají na spravování X.509 certifikátů program Kleopatra. To ovšem není nic jiného než klikátko pro gpgsm. Kleopatra sama o sobě neumí nastavit certifikát jako důvěryhodný, to je potřeba řešit přímo v gpgsm. Důvěryhodné certifikáty (tedy jejich fingerprinty) si uživatel zapisuje do souboru ~/.gnupg/trustlist.txt ručně (je možné povolit spravovnání pomocí gpg-agenta, ale to není z bezpečnostních důvodů doporučováno, lidi moc často všechno odklikají .
Formát souboru je jednoduchý – kromě komentářů a prázdných řádek, každá obsahuje fingerprint klíče a za ním jeden znak (P, S nebo *), který asi určuje k čemu se certifikát může používat. Ve všech příkladech jsem našel jenom S a žádné vysvětlení a zdrojáky se mi zatím číst nechtělo ).
Nejdříve potřebujeme zjistit a ověřit fingerprint klíče. Pokud ho již máme naimportovaný, můžeme ho najít ve výpisu všech klíčů pomocí gpgsm --list-keys:
Serial number: 00
Issuer: /CN=CA Cert Signing Authority/OU=http:\x2f\x2fwww.cacert.org/O=Root CA/EMail=support@cacert.org
Subject: /CN=CA Cert Signing Authority/OU=http:\x2f\x2fwww.cacert.org/O=Root CA/EMail=support@cacert.org
validity: 2003-03-30 12:29:49 through 2033-03-29 12:29:49
key type: 4096 bit RSA
chain length: unlimited
fingerprint: 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
Pak nějakou důvěryhodnou cestou ověříme jeho správnost a můžeme ho přidat do seznamu důvěryhodných:
# /CN=CA Cert Signing Authority/OU=http:\x2f\x2fwww.cacert.org/O=Root CA/EMail=support@cacert.org 13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33 S
Nakonec je ještě potřeba dát vědět gpg-agentovi o této změne signálem HUP. A nyní by již maily podepsané certifikáty podepsanými touto autoritou měly být v KMailu zelené .
Tiskni
Sdílej:
11.7.2005 15:34
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
(resp. nemám zatím podepsaný certifikát, tak je zbytečné to řešit). Ale z Googla mi vypadlo tohle.
11.7.2005 16:16
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
gpgsm —call-protect-tool —p12-import —store seckey.p12s chybou gpgsm: error executing `/usr/libexec/gpg-protect-tool': není souborem ani adresářem
11.7.2005 16:50
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
11.7.2005 18:43
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
Možná jen špatné USE flagy...
. Když jsem naposled koukal do tohodle ebuildu, tak to tam nebylo podporovaný (je potřeba kompilovat gpgme proti novému gpg), respektive ta část byla zakomentovaná.
Taky mam problem s verisign, uz jsem nastavil snad vse dle navodu na netu ale porad to neoveri podpis. A kdyz si dam Audit log tak mi to hlasi "root certificate missing".
Jo a je zajimavy, ze kdy jsem na kmail pustil strace tak jsem nikde nenasel, ze by vubec sahal na soubor trustlist.txt.
Ma nekdo nejakej napda, kde by mohl byt jeste problem ?
Diky
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.