[Postfixbuch-users] TLS: Validierung Zertifikat bei Zertifikatskette

Mathias Jeschke postfixbuch-users at gmj.cjb.net
Di Apr 26 11:07:30 CEST 2011


Am 26.04.11 10:50, schrieb Tobias Luithardt:

> ich vertraue eigentlich nur der Sub-CA1, die stark validierte Zertifikate ausstellt:
> ROOT-CA -> Sub-CA1 -> Zertifikat(starke Validierung)
> ROOT-CA -> Sub-CA2 -> Zertifikat(schwache Validierung)
> 
> Wenn ich jetzt der ROOT-CA vertraue - laut Pascal - vertraue ich auch Sub-CA2.
> Dies möchte ich aber nicht.

Wie ich schon geschrieben habe:
Wenn Du der "Sub-CA2" nicht traust (und das bedeutet, dass Du der
Root-CA nicht traust!), dann entferne das Zertifikat der Root-CA.

> Ich möchte eigentlich nur der Kette
> ROOT-CA -> Sub-CA1
> vertrauen.
>  
> Ist dies möglich?

Falls Du dennoch der "Sub-CA1" traust (worin ich aber auch so meine
Zweifel habe), dann kopiere das entsprechende Zertifkat _der Sub-CA1_
nach /etc/ssl/certs (und setze den entsprechenden Symlink).

Dann kann Postfix auch Zertifikate, die von der "Sub-CA1" ausgestellt
wurden, als gültig verifizieren.

BTW: Bitte kein TOFU: http://de.wikipedia.org/wiki/TOFU

Gruß,
Mathias



Mehr Informationen über die Mailingliste Postfixbuch-users