Re: verschlüsselter Austausch Server <-> Server
sebastian at debianfan.de
sebastian at debianfan.de
Mi Jun 15 23:45:29 CEST 2016
der Preis des Abends geht an Torben - jetzt läufts :-)
Am 15.06.2016 um 09:03 schrieb Torben Dannhauer:
> Hi
>
> Ich habe ein Class II Zert bei StartSSL und nutze es für Dovecot und Postfix
>
> Dann kannst du dir ein Zert mit SANs und Wildcards erstellen für 59 USD. Dann hast gleich die Sub Domains wie imap., smtp. und pop. mit abgesichert.
>
> Man zahl nicht per Zertifikat sondern für den Aufwand der personal identity validation (59USD). Man kann dann beliebig viele Certs kostenlos erstellen für den Preis innerhalb der gültigen Validierungsperiode (300 Tage gültig.) Man muss nur Owner der Domain sein - da reagieren sie sehr empfindlich.
>
> Mein Zert mit 3 SANs (in der Summe also 4 Einträge) schaut so aus:
> Domain1.tld
> *.Domain1.tld
> Domain2.tld
> *.Domain2.tld
>
> Wenn man sein StartSSL Zert nun in den Händen hält (pem Format), kann man es so aufbereiten für Dovecot, Postfix und Apache:
>
> Kombinieren des CA-root und -intermediate files in ein CA bundle file (wichtig: Class I Zertifikate brauchen Class I intermediate, Class II Zertifikate das zugehörige Class II intermediate Zert!!):
>
> cat startssl-intermediate.sha2.pem.crt startssl-root.pem.crt > startssl-CAbundle.pem.crt
>
> Kombinieren des Serverzertifikates und des eben erstellten CA bundles für Dovecot:
>
> cat your-cert.pem.crt startssl-CAbundle.pem.crt > your-cert.dovecot.pem.crt
>
>
>
> Ich habs in dovecot die SSL/TLS-Konfiguration dann so gelöst:
>
>
> Schönes Tutorial für Perfect Foward Secrecy: http://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/
>
> # vim /etc/dovecot/conf.d/10-ssl.conf:
>
> ssl = required
> ssl_cert = </etc/ssl/certs/ your-cert.dovecot.pem.crt
> ssl_key = </etc/ssl/private/ your-cert.dovecot.key
>
>
> Erweitern des Logs um den Parameter %k um den verwendeten Cipher sehen zu können:
>
> vim /etc/dovecot/conf.d/10-logging.conf
>
> login_log_format_elements = "user=<%u> method=%m rip=%r lip=%l mpid=%e %c %k"
>
>
> Bei CAs mit Intermediate-Zertifikaten (z.B. startSSL.com), müssen die Zertifikate entsprechend der Reihenfolge
> der Zertifikatskette in die Zert-Datei eintragen werden, beginnend mit dem eigentlichen Serverzertifikat gefolgt vom nächst höheren Zertifikat bis zum höchsten Zertifikat am Ende.
>
> Ergänzen der Einstellungen dann ggfs. um die Ciphers und Empfehlungen von bettercrypto.org
>
>
>
> ...
> soweit ein dirty brain dump von mir
>
>
> LG,
> Torben
>
>
> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de
> Gesendet: Dienstag, 14. Juni 2016 22:59
> An: postfixbuch-users at listen.jpberlin.de
> Betreff: Re: verschlüsselter Austausch Server <-> Server
>
> Es liegt an den Zertifikaten (am Inhalt) - ich habe diese nochmal neu generiert - jedoch meckert er jetzt herum:
>
> SSL3 alert read:fatal:bad certificate
>
> Hat einer von Euch ein HowTo in welchem beschrieben wird, wie mittels StartSSL ein Wildcard Level 2 Zertifikat erstellt und in Postfix eingebunden wird?
>
> Ich bin wie folgt vorgegangen:
>
> openssl genrsa -out domainname-private-ssl.key 4096
>
> openssl req -new -key domainname-private-ssl.key -out domainname.csr
> ---> hier als Domainnamen *.domain.de angegeben
>
> --> den CSR bei StartSSL eingereicht
>
> die OtherServers.zip entpackt
>
> mein Privater Key ist die eine Datei für Postfix
>
> die Kombination aus dem signierten Schlüssel von StartSSL und dem https://www.startssl.com/certs/der/sca.server2.crt ist die zweite Datei
>
>
> Scheinbar gibts hier Probleme - das funktioniert halt nicht :-/
>
>
> Am 14.06.2016 um 22:21 schrieb Andreas Pothe:
>> Hallo,
>>
>>
>> Am 14.06.2016 um 21:45 schrieb sebastian at debianfan.de:
>>> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: cannot get RSA
>>> private key from file /etc/ssl/private/xn--deiner-dta.de.key.priv:
>>> disabling TLS support
>>> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: TLS library
>>> problem: error:0B080074:x509 certificate
>>> routines:X509_check_private_key:key values mismatch:x509_cmp.c:341:
>>
>> Das dürfte der Fehler sein!
>>
>
Mehr Informationen über die Mailingliste Postfixbuch-users