[Postfixbuch-users] Zertifikate für mehrere Domains erstellen

Patrick Ben Koetter p at state-of-mind.de
Di Apr 18 15:00:49 CEST 2006


* Jim Knuth <jk at jkart.de>:
> Hallo und Guten Tag Postfixer,
> 
> ich glaube, das Thema gabs schon mal, aber es schien sehr
> "komplex" zu sein.
> 
> Also, wie kann man für Domain X, X, Z jeweils eigene Zertifikate
> erstellen und die dann "gleichzeitig" benutzen? Bei Google hab
> ich nur Fragmente gefunden, die nicht wirklich weiterhalfen.
> Weiss das jemand, bzw. hat das schon jemand realisiert?

Dieses Thema ist IMO nicht Postfix-spezifisch. Maßgebend ist das was mit
Zertifikaten möglich ist:

Variante 1: Ein Zertifikat/eine Domain
Du kannst für jede Domain eine eigenes Zertifikat benutzen. Das setzt aber
vorraus, dass Du für jede Domain eine eigene Instanz eines Postfix Servers
benötigtst und damit auch jeweils eine eigene IP-Adresse.
-> Verschwendung von IPv4-Adressen
-> Nicht realisierbar in großen Stil, außer Du bist RIPE


Variante 2: Ein Zertifikat/mehrere, alternative Domains
Du kannst ein Zertifikat mit einem CN und mehreren alternativen Subjects des
Typs DNS erstellen und dort weitere Host- und/oder Domainnamen listen - ein
Zertifikat ist damit für mehrere Domains gültig. Dafür benötigst Du nur eine
IP-Adresse und nur eine Instanz eines Postfix Servers.
-> Das will man haben...
-> Kosten der Zertifizierung
   Welche offizielle CA signiert dir ein Zertifikat mit mehreren Hostnamen?
   Das kollidiert - höflich gesagt - mit deren Business-Modell. Wenn Du eine
   offizielle CA gefunden hast, was wollen die dann für so ein Zertifikat?
   Kann man das noch zahlen?


Variante 3: Ein Zertifikat/eine Domain
Du erstellst ein Zertifikat für eine Domain und trägst bei allen
Kunden-Domains diese Domain als MX ein. Dafür benötigst Du nur eine
IP-Adresse und nur eine Instanz eines Postfix Servers.
-> Das kann man einfach realisieren
-> Es klingt nicht so toll für den Kunden: "Aber wieso sollen wir denn ihren
   Server eintragen. Wir haben doch extra eine eigene Domain. Sehen das dann
   unsere Geschäftspartner auch? Da können wir ja gleich bei unserer
   T-Online-Adresse bleiben..."

p at rick




> 
> 
> -- 
> Viele Gruesse, Kind regards,
>  Jim Knuth
>  jk at jkart.de
>  ICQ #277289867
> ----------
> Zufalls-Zitat
> ----------
> Freiheit ist ein Gut, das durch Gebrauch wächst, durch 
> Nichtgebrauch dahinschwindet. (Carl F. von Weizäcker, 
> dtsch. Philosoph, geb. 1912)
> ----------
> Der Text hat nichts mit dem Empfaenger der Mail zu tun
> ----------
> Virus free. Checked by NOD32 Version 1.1494 Build 7099  18.04.2006
> 
> -- 
> _______________________________________________
> Postfixbuch-users mailingliste
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Das Postfix-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users