[Eisfair] Certs Neu-anfang
Marcus Roeckrath
marcus.roeckrath at gmx.de
Fr Mär 4 17:16:12 CET 2016
Hallo Andreas,
Andreas Schmied wrote:
> Alles neu gemacht:
> Ausgangslage:
> Funktionierender Mailserver mit den 'auskommentierten' Zeilen in
> .../configure damit der TLS Mailversand klappt.
>
> --------------------
> ...
> tls_certificate = /usr/local/ssl/certs/exim.pem
> tls_privatekey = /usr/local/ssl/certs/exim.pem
> --------------
>
> Absicht:
> Zertifikatserstellung damit der TLS Mailversand auch ohne
> 'auskommentierte' Zeilen funktioniert.
> Im Heimnetz will ich keine verschlüsselte Verbindungen nutzen
>
> Ich stecke jetzt bei:
>
> Die Zertifikatserstellung (CERT)
> Punkt 5
>
> fest, weil ich nicht genau weiß wie ich die nächste Frage beantworten
> soll: 1 server usage
> 2 client usage
Erstmal erstellt man ein CA, d. h.
Manage Certificates
1 -> 1
Dann die Schritte für das CA durchlaufen.
Dann
Manage certificates
1 -> 2
Dann
2 -> n
Name eingeben: eis88.home.lan
und alle Schritte durchlaufen.
> Was ist denn mein Mailserver gegenüber dem Server des Providers?
Client, dafür brauchts das lokale Zertifikat nicht, da bekommst Du beim
Verbindungsaufbau das Zertifikat, dass der entfernte Server liefert; dessen
Kette daher auf Deinem Server auflösbar sein muss (Root- und
Zwischenzertifikate).
Dein lokales Zertifikat baruchst Du, wenn sich andere PCs mit Deinem Server
verbinden und um exim glücklich zu machen - er möchte halt gerne ein
eigenes lokales Zertifikat haben.
Server ist Dein eisfair gegenüber dem TB auf Deinen Clients; damit
allerdings der TB das lokale exim.pem akzeptiert, müsste der TB das
signierende CA kennen.
Daher rate ich, zwischen TB und lokalem Mailserver keine verschlüsselte
Verbindung aufzubauen; erforderlich ist aus Sicherheitsgründen allerdings
seit einiger Zeit die Verwendung eines verschlüsselten Passworts.
> Muss ich diesen Prozeß zweimal durchlaufen, einmal um ein Server
> Zertifikat und ein anderes Mal um ein Client Zertifikat zu erstellen?
Nein, Du erstellst zunächst das loakle CA-Zertifikat, danach das lokale
Serverzertifikat.
--
Gruss Marcus
Mehr Informationen über die Mailingliste Eisfair