[Postfixbuch-users] SSL-Zertifikate mit Nagios checken

[Igor Sverkos]

Hallo,

Andre Tann schrieb:
> Wie kriege ich (von außen) raus, ob dieses Zertifikat noch OK ist:
> smtpd_tls_CAfile
> 
> 
> Hintergrund: das CAcert eines meiner Server war heute abgelaufen, und
> prompt hat jeder User ne Meldung gekriegt. Das will ich künftig vermeiden,
> und also ne Nagios-Überwachung draufsetzen.
> Zugegebenermaßen kapiere ich grad nicht, wieso postfix das CAcert dem Client
> überhaupt präsentiert. Das braucht es nach meinem Verständnis doch nur, um
> vom Client präsentierte Zertifikate zu überprüfen.

Jaein.

Meines Wissens war/ist smtpd_tls_CAfile primär - wie du schreibst - zur
Überprüfung von Client-Zertifikaten gedacht - ja.

Aber viele verwenden das auch, um so die Zertifikatskette abzubilden
(man bekommt ja heute kein SSL-Zertifikat ohne Zwischenzertifkat mehr).

Wenn smtpd_tls_CAfile nun also das eigentlichen Zertifikat +
Zertifikatkette direkt enthält, braucht es IMHO kein CAfile mehr.

Was ich mich an der Stelle aber frage ist, wie die Überprüfung von
CAfile durchlaufen konnte:

Wenn du bislang keine Zertifikatskette mitlieferst, muss ja eigentlich
die prüfende Instanz alle Zwischenzertifikate + Rootzertifikat
installiert haben, um das Zertifikat zu überprüfen.
Es kann eigentlich nie passieren, dass Root/Zwischenzertifikate
ablaufen, das eigentliche Zertifikat jedoch noch gültig ist. Insofern
frage ich mich, wieso dein Check allgemein nicht angeschlagen ist.


P.s: Eine Prüfung von smtpd_tls_CAfile sollte nicht so einfach sein. Da
können ja zig Zertifikate enthalten sein - die nichts miteinander zutun
haben. Insofern müsste eine Prüfung jedes Zertifikat extrahieren und
dieses für sich prüfen. Verwendet jemand jetzt bspw. das CAfile seiner
Distribution oder von Mozilla sind das ein paar Hundert... :-)


-- 
Ich Grüße,
Igor