[Postfixbuch-users] Frage zu OpenSSL

Hajo Locke Hajo.Locke at gmx.de
Fr Mär 13 10:27:06 CET 2015


Hallo,

Am 13.03.2015 um 09:01 schrieb Andre Tann:
> Servus zusammen,
>
> ich komm grad bei einer Zertifikatsverlängerung nicht weiter. Das
> Zertifikat ist abgelaufen, und ich möchte ein neues selbstsigniertes
> Zertifikat einrichten.
>
> # postconf | egrep "^smtpd_tls_(CAfile|cert_file|key_file)"
> smtpd_tls_CAfile = /etc/postfix/CA/cacert.pem
> smtpd_tls_cert_file = /etc/postfix/CA/cert.pem
> smtpd_tls_key_file = /etc/postfix/CA/key.pem
>
> Ist folgendes richtig:
>
> 	cacert.pem => ist der öffentliche Schlüssel meiner CA, bleibt
> 			gleich
>
> 	cert.pem => ist das Zertifikat, das auf den neuen Request ausge-
> 			stellt wurde, diese Datei ist also neu
>
> 	key.pem => Ist das private key file meines Postfix => bleibt
> 			gleich

Wieso musst du den key nicht tauschen? Beim generieren des Zertifikates 
muss doch auch ein neuer Key entstanden sein. Beibehalten des Keys geht 
meiner Meinug nach nur, wenn du das ursprüngliche Zertifikat verlängerst.

Die Checksummen müssen identisch sein:

CSR
openssl req -noout -modulus -in CSR | openssl md5

CRT
openssl x509 -noout -modulus -in CRT | openssl md5

KEY
openssl rsa -noout -modulus -in KEY | openssl md5

Woher du bei einem selbstsignierten Zertifikat ein cacert.pem hast ist 
mir nicht ganz klar. Du musst ja deinen CSR mit deinem eigenen CA 
beglaubigt haben, um an das CRT zu kommen. Wir lassen auch extern bei 
einer offiziellen CA beglaubigen.

>
> Ich muß also nur cert.pem austauschen, richtig? Das habe ich auch
> gemacht, und in dieser Datei ist das neue Ablaufdatum enthalten:
>
> # openssl x509 -noout -dates -in /etc/postfix/CA/cert.pem
> notBefore=Mar 10 07:25:57 2015 GMT
> notAfter=Mar  9 07:25:57 2017 GMT
>
> Postfix ist neu gestartet. Warum beschweren sich die Clients trotzdem,
> daß das Zertifikat ungültig sei?
>
>
>
> Und noch eine Anschlußfrage: wieso braucht Postfix den Pubkey der CA,
> dovecot aber nicht?
>
> # grep "^ssl_" /etc/dovecot/dovecot.conf
> ssl_cert_file = /etc/postfix/CA/cert.pem
> ssl_key_file = /etc/postfix/CA/key.pem
>
>
>
> Wo steh ich auf dem Schlauch?
>
> Danke & Gruß
>




Mehr Informationen über die Mailingliste Postfixbuch-users