[Postfixbuch-users] TLS: Validierung Zertifikat bei Zertifikatskette
Tobias Luithardt
tobias.luithardt at r1net.de
Di Apr 26 10:50:06 CEST 2011
Hi Mathias,
ich vertraue eigentlich nur der Sub-CA1, die stark validierte Zertifikate ausstellt:
ROOT-CA -> Sub-CA1 -> Zertifikat(starke Validierung)
ROOT-CA -> Sub-CA2 -> Zertifikat(schwache Validierung)
Wenn ich jetzt der ROOT-CA vertraue - laut Pascal - vertraue ich auch Sub-CA2.
Dies möchte ich aber nicht.
Ich möchte eigentlich nur der Kette
ROOT-CA -> Sub-CA1
vertrauen.
Ist dies möglich?
Grüssle
Tobi
______
Von: postfixbuch-users-bounces at listen.jpberlin.de [postfixbuch-users-bounces at listen.jpberlin.de]" im Auftrag von "Mathias Jeschke [postfixbuch-users at gmj.cjb.net]
Gesendet: Dienstag, 26. April 2011 10:05
An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
Betreff: Re: [Postfixbuch-users] TLS: Validierung Zertifikat bei Zertifikatskette
Am 26.04.11 09:52, schrieb Tobias Luithardt:
> kann man dieses Verhalten mit Postfix Mitteln verhindern?
> Also dass er nur einem Zertifikat vertraut, wenn auch die
> passende Sub-Ca hinterlegt ist?
D.h. Du vertraust der Root-CA nicht, die das Zertifikat für die "Sub-CA"
ausgestellt hat.
Lösche das entsprechende Zertifikat der Root-CA in /etc/ssl/certs
(oder wo auch immer Deine libssl die Zertifikate aufbewahrt).
Gruß,
Mathias
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH
Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Mehr Informationen über die Mailingliste Postfixbuch-users