[Postfixbuch-users] SSL Zertifikate installieren?

David Geiger info at david-geiger.de
Do Mär 17 12:10:01 CET 2005


Hi,

da du den Thread angesprochen hast, mische ich mich auch mal noch ein:
Ich hatte mir jetzt überlegt, aus den confixx virtualdomain-tables für 
postfix die Domains per cron auszulesen und regelmäßig ein neues 
Zertifikat mit subjectAltNames zu erstellen - es kommt ja schließlich 
öfters eine neue v-Domain hinzu, die dann auch ins Zertifikat 
aufgenommen werden muss. Ansonsten bekommt der User die Fehlermeldung, 
dass Zertifikat-Owner und Mail-Domain nicht übereinstimmen.

Im Moment frage ich mich allerdings gerade, ob der User dann nach jeder 
neuen Generierung bzw nach jedem Hinzufügen von einem subjectAltName das 
Zertifikat erneut als vertrauenswürdig einstufen müsste?! Evtl lässt 
sich dies durch unten beschriebene Methode umgehen...?

Viele Grüße, David

Maik Weidemann schrieb:

>Hallo Marcel ! (*  Heute mache ich es richtig! ;) *)
>
>  
>
>>Mir bleibt nun nur eine Frage:
>>
>>Laut meinem Verständnis würde ich im nächsten zuge dann erst einmal eine
>>aktuelle root-ca
>>erstellen. Dann für Postfix und Cyrus ein cert erstellen. Dieses cert für
>>den Mailserver würde ich dann in DER wandeln und zum download anbieten.
>>
>>    
>>
>So hatte ich das nicht gedacht. :) Du wandelts dein root-ca in das
>DER-Format um und bietest das zum Download an. Das Zertifikat für
>Postfix und Cyrus signierst du dann mit deinem root-ca, dies kannst du
>dann auch mit deinen SSL-Cert machen. Dann brauch dein User nur _ein_
>Cert installiern, und alle Certs die damit signiert wurden, sind
>automatisch gültig! :)
>
>  
>
>>Passt denn dieses Zertifikat dann auf alle Virtuellen Domains?
>> 
>>
>>    
>>
>Soll das heißen du brauchst ein Cert für mail.virtual_1.de,
>mail.virtual_2.de, mail.virtual_3.de, ... ?
>
>  
>
>>Ich habe ein Script gefunden -> ssl.ca-0.1, damit kann man sich diese Dinge
>>vereinfachen.
>> 
>>
>>    
>>
>Naja, ich kenn das Script nicht, aber wenn es lauter Certs für deine
>V-Domain erstellt und diese mit deinem root-ca signiert ist das kein
>Problem.
>Vor ein paar Tagen tauchte hier in der Maillingliste aber die Frage
>schon mal auf, ein Cert für mehere Domains.(siehe Patricks eMail vom
>10.03.05 03:27, "Re: [Postfixbuch-users] Mehrere TLS Zertifikate / Mail
>an root ->    nobody"
>
>
>Gruß
>Maik
>
>  
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20050317/83a40f75/attachment.html>


Mehr Informationen über die Mailingliste Postfixbuch-users