[Postfixbuch-users] verschiedene CA Zertifikate

Patrick Ben Koetter p at state-of-mind.de
Mo Apr 11 00:13:17 CEST 2005


* Andreas Meyer <anmeyer at anup.de>:
> Kann ich mit Postfix verschiedene cacerts installieren? Würde mich mal
> interessieren, von einem anderen MTA ein cacert einzubauen.

Ja, das kannst Du. Entweder Du packst alle CA certs in eine Datei und verweist
mit $smtpd_tls_CAfile darauf oder du legst alle in einem Verzeichnis ab und
benützt stattdessen $smtpd_tls_CApath, um auf das $dir zu verweisen.

Wenn Du $smtpd_tls_CApath benützt, mußt Du mit dem OpenSSL utility c_rehash
einen Index der CAcerts des $dir erzeugen, damit OpenSSL sie schnell einlesen
kann.

> Ich habe z.B. hier im log:
> certificate verification failed for ilpostino.jpberlin.de: num=19:self signed certificate in certificate chain
> fingerprint=75:D8:A1:1D:96:A9:A4:1B:BA:95:A2:45:A6:E1:63:50
> Unverified: subject_CN=, issuer=ilpostino.jpberlin.de
> 
> Ich müßte also Peer anschreiben, daß er mir sein cacert schickt?

Jo. Man kann aber auch einfach ein cert bei cacert.org erstellen und dieses
verwenden. Dann deren CAcert Zertifikat benützen. Das erhöht die
Wahrscheinlichkeit ungemein, das man das Gegenüber auch verifizieren kann ;)

p at rick


-- 
The Book of Postfix
<http://www.postfix-book.com>
SMTP AUTH debug utility:
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users