<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
<font size="-1">Hi,<br>
<br>
da du den Thread angesprochen hast, mische ich mich auch mal noch ein:<br>
Ich hatte mir jetzt überlegt, aus den confixx virtualdomain-tables für
postfix die Domains per cron auszulesen und regelmäßig ein neues
Zertifikat mit </font><small>subjectAltNames zu erstellen - es kommt
ja schließlich öfters eine neue v-Domain hinzu, die dann auch ins
Zertifikat aufgenommen werden muss. Ansonsten bekommt der User die
Fehlermeldung, dass Zertifikat-Owner und Mail-Domain nicht
übereinstimmen.<br>
<br>
Im Moment frage ich mich allerdings gerade, ob der User dann nach jeder
neuen Generierung bzw nach jedem Hinzufügen von einem subjectAltName
das Zertifikat erneut als vertrauenswürdig einstufen müsste?! Evtl
lässt sich dies durch unten beschriebene Methode umgehen...?<br>
<br>
Viele Grüße, David</small><br>
<br>
Maik Weidemann schrieb:
<blockquote cite="mid42396154.9070600@jg-service.de" type="cite">
  <pre wrap="">Hallo Marcel ! (*  Heute mache ich es richtig! ;) *)

  </pre>
  <blockquote type="cite">
    <pre wrap="">Mir bleibt nun nur eine Frage:

Laut meinem Verständnis würde ich im nächsten zuge dann erst einmal eine
aktuelle root-ca
erstellen. Dann für Postfix und Cyrus ein cert erstellen. Dieses cert für
den Mailserver würde ich dann in DER wandeln und zum download anbieten.

    </pre>
  </blockquote>
  <pre wrap=""><!---->So hatte ich das nicht gedacht. :) Du wandelts dein root-ca in das
DER-Format um und bietest das zum Download an. Das Zertifikat für
Postfix und Cyrus signierst du dann mit deinem root-ca, dies kannst du
dann auch mit deinen SSL-Cert machen. Dann brauch dein User nur _ein_
Cert installiern, und alle Certs die damit signiert wurden, sind
automatisch gültig! :)

  </pre>
  <blockquote type="cite">
    <pre wrap="">Passt denn dieses Zertifikat dann auf alle Virtuellen Domains?
 

    </pre>
  </blockquote>
  <pre wrap=""><!---->Soll das heißen du brauchst ein Cert für mail.virtual_1.de,
mail.virtual_2.de, mail.virtual_3.de, ... ?

  </pre>
  <blockquote type="cite">
    <pre wrap="">Ich habe ein Script gefunden -> ssl.ca-0.1, damit kann man sich diese Dinge
vereinfachen.
 

    </pre>
  </blockquote>
  <pre wrap=""><!---->Naja, ich kenn das Script nicht, aber wenn es lauter Certs für deine
V-Domain erstellt und diese mit deinem root-ca signiert ist das kein
Problem.
Vor ein paar Tagen tauchte hier in der Maillingliste aber die Frage
schon mal auf, ein Cert für mehere Domains.(siehe Patricks eMail vom
10.03.05 03:27, "Re: [Postfixbuch-users] Mehrere TLS Zertifikate / Mail
an root ->    nobody"


Gruß
Maik

  </pre>
</blockquote>
</body>
</html>