[Postfixbuch-users] TLS - Anonymous vs. Untrusted

Andreas Schulze andreas.schulze at datev.de
Fr Sep 6 13:48:24 CEST 2013


Am 06.09.2013 13:26 schrieb Mathias Jeschke:
> Das ist ja blöd gelöst - smtpd_tls_CAfile wird normalerweise benutzt um
> dem Client eine Zertifikatskette von Zwischen-CAs zu senden, so dass der
> das Server-Zertifikat validieren kann, wenn er nur die Root-CA kennt.
nö,

ich hänge mein Zertifikat und die Zwischen-CA mit cat zusammen
und nehme fuer smtp_tls_cert_file sowie smtpd_tls_cert_file.
Ein Root-Zertifikat sende ich nie¹ mit. Das muss die Gegenstelle sowieso haben, um irgendwas validieren zu können.

smtp_tls_CAfile zeigt auf eine Datei außerhalb der Postfix chroot, in
der alle CAs (wieder mit cat zusammengehangen) drinstehen, die beim Versand vertrauenswürdig sein sollen.

der smtpD bekommt smtpd_tls_CApath eine (möglicherweise abweichende) CA-Liste inform
eines Verzeichnisses mit mehreren .PEM Dateien. (c_rehash $dir nicht vergessen)
Das muss dann auch *in* der chroot aktualisiert werden.
Die Liste ist dann nur dafür zusändig, dass "via Trusted TLS Session" im Log des MX und in den Headern der
empfangenen Nachrichten drinsteht.

¹) wenn doch, ist's 'ne Altlast ...

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen



Mehr Informationen über die Mailingliste Postfixbuch-users