[Postfixbuch-users] postfix und Clientzertifikate

Marco Estrada Martinez marco at marcomartinez.de
So Nov 4 19:19:14 CET 2007 

Patrick Ben Koetter schrieb:
> * Marco Estrada Martinez <marco at marcomartinez.de>:
>   
>>> Nein, die x509 Zertifikate die Postfix benutzt, sind an Hosts gebunden. 
>>> Personen/User etc. sind in diesem Zusammenhang irrelevant. Also: jeder 
>>> MTA hat sein Zertifikat. Mit seinem Hostnamen an CN.
>>>       
>> mh dass ist natürlich schade. das würde ja bedeuten das ein und die 
>> selbe Person zwei Clientzertifikate benötigt (Wenn er zwei PC nutzt). 
>> Ich bin aber der Meinung das mit dem ausstellen des Clientzertifikates 
>> "Ich" als CA "unterschreibe" das es sich um die Person handelt. Oder?
>>     
>
> Die einzige, flächendeckend in den gebräuchlichen MUAs nutzbare Methode, um
> User eindeutig zu identifizieren, ist SMTP Authentifizierung.
>   

OK das sehe ich ein. Wollte aber die Zertifikate nur nebenbei zur 
Authentifizierung nutzen. Wollte sie eigentlich auch dazu nutzen damit 
meine User Ihre Mail digital unterschreiben können. In diesem Fall wäre 
es aber nicht korrekt wenn es pro Person mehrere Zertifikate gibt. Wenn 
ich dich dann richtig verstehe. Müsste ich meinem postfix das mit den 
Zertifikaten abgewöhnen und ihn per smtp_auth gegenüber dem Mailserver 
authentifizieren und das clientzertifikat nur als Einrichtung im mta als 
digitale Unterschrift. Oder eins für die Kommunikation zwischen mta und 
mailserver (für jeden client eines) und ein zertifikat pro Person zum 
digitalen unterschreiben, Oder gibt es andere Vorgehen.

THX & Grüße Marco
> Die einzige Methode, um den Zugriff auf bestimmte Envelope-Sender
> einzuschränken ist es mit smtpd_sasl_login_maps den SASL Loginnamen and einen
> Envelope-Sender zu binden.
>
> TLS Zertifikate sind zwar in wenigen MUAs an eine Person bindbar, aber deren
> Verbreitung ist in Windows-Landschaften nicht der Regelfall.
>
> p at rick
>
>   


-- 
Diese Mail ist digital unterschrieben, Sie ist nur gültig mit dem folgenden Fingerprint:

This mail is digitally signed, it is only valid with the following Fingerprint:

MD5-Fingerprint: 20:58:47:18:43:33:B5:F3:D4:15:DB:F5:D9:91:EA:2C

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 3035 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20071104/6f15c1ea/attachment.bin>

Mehr Informationen über die Mailingliste Postfixbuch-users