[Postfixbuch-users] Postfix TLS mit CAcert?
Werner Flamme
w.flamme at web.de
Mi Sep 4 15:54:21 CEST 2013
Igor Sverkos [04.09.2013 15:44]:
> Wenn direkt kein CA-File angegeben ist, gibt es da ja auch noch
> Default-Werte, die meistens auf /etc/ssl... zeigen.
>
> In den meisten "ca-certificates" Paketen sollte CACert.org enthalten sein,
> ja.
>
>
>>> Wenn das CAfile von CAcert in dem einliefernden Server nicht vorhanden
>>> ist, dann wird wohl auch nicht der Transport verschlüsselt.
>>
>> Nein, stimmt nicht. Ich habe mindestens 20 VMs laufen, die mit
>> selbstsigniertem Zertifikat einliefern, das ist kein Problem.
>
> Danach habe ich gerade in http://www.postfix.org/TLS_README.html geschaut.
> Ich würde zumindest erwarten das es eine Option gibt, welche die
> Validierung abschaltet. Aber so etwas habe ich beim Überfliegen jetzt nicht
> entdeckt, im Gegenteil, dort heißt es: Das präsentierte Zertifikat muss
> einer Prüfung mit "openssl verify -purpose sslserver ..." bestehen, was ein
> selbstsigniertes Zertifikat jetzt nicht schaffen sollte...
Für meine Zertifikate bin ich nach
<http://blog.alonso.ch/tech/sicherheit/postfix-mit-tls-erweitern/>
vorgegangen. Klappt. Zitat aus der Seite: "Funktionsbezogen ist
allerdings nur der CN (Common Name). Hier muss der Hostname des
Mailservers eingetragen werden[...]"
Ach ja, und falls der tlsmgr fehlen sollte, den muss man in der
master.cf auskommentieren, so dass der Eintrag aktiv ist :-)
Gruß
Werner
--
Mehr Informationen über die Mailingliste Postfixbuch-users