<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

<font size="-1">Hi,<br>

<br>

da du den Thread angesprochen hast, mische ich mich auch mal noch ein:<br>

Ich hatte mir jetzt überlegt, aus den confixx virtualdomain-tables für

postfix die Domains per cron auszulesen und regelmäßig ein neues

Zertifikat mit </font><small>subjectAltNames zu erstellen - es kommt

ja schließlich öfters eine neue v-Domain hinzu, die dann auch ins

Zertifikat aufgenommen werden muss. Ansonsten bekommt der User die

Fehlermeldung, dass Zertifikat-Owner und Mail-Domain nicht

übereinstimmen.<br>

<br>

Im Moment frage ich mich allerdings gerade, ob der User dann nach jeder

neuen Generierung bzw nach jedem Hinzufügen von einem subjectAltName

das Zertifikat erneut als vertrauenswürdig einstufen müsste?! Evtl

lässt sich dies durch unten beschriebene Methode umgehen...?<br>

<br>

Viele Grüße, David</small><br>

<br>

Maik Weidemann schrieb:

<blockquote cite="mid42396154.9070600@jg-service.de" type="cite">

  <pre wrap="">Hallo Marcel ! (*  Heute mache ich es richtig! ;) *)

  </pre>

  <blockquote type="cite">

    <pre wrap="">Mir bleibt nun nur eine Frage:

Laut meinem Verständnis würde ich im nächsten zuge dann erst einmal eine

aktuelle root-ca

erstellen. Dann für Postfix und Cyrus ein cert erstellen. Dieses cert für

den Mailserver würde ich dann in DER wandeln und zum download anbieten.

    </pre>

  </blockquote>

  <pre wrap=""><!---->So hatte ich das nicht gedacht. :) Du wandelts dein root-ca in das

DER-Format um und bietest das zum Download an. Das Zertifikat für

Postfix und Cyrus signierst du dann mit deinem root-ca, dies kannst du

dann auch mit deinen SSL-Cert machen. Dann brauch dein User nur _ein_

Cert installiern, und alle Certs die damit signiert wurden, sind

automatisch gültig! :)

  </pre>

  <blockquote type="cite">

    <pre wrap="">Passt denn dieses Zertifikat dann auf alle Virtuellen Domains?

    </pre>

  </blockquote>

  <pre wrap=""><!---->Soll das heißen du brauchst ein Cert für mail.virtual_1.de,

mail.virtual_2.de, mail.virtual_3.de, ... ?

  </pre>

  <blockquote type="cite">

    <pre wrap="">Ich habe ein Script gefunden -> ssl.ca-0.1, damit kann man sich diese Dinge

vereinfachen.

    </pre>

  </blockquote>

  <pre wrap=""><!---->Naja, ich kenn das Script nicht, aber wenn es lauter Certs für deine

V-Domain erstellt und diese mit deinem root-ca signiert ist das kein

Problem.

Vor ein paar Tagen tauchte hier in der Maillingliste aber die Frage

schon mal auf, ein Cert für mehere Domains.(siehe Patricks eMail vom

10.03.05 03:27, "Re: [Postfixbuch-users] Mehrere TLS Zertifikate / Mail

an root ->    nobody"

Gruß

Maik

  </pre>

</blockquote>

</body>

</html>