[Eisfair] Probleme b?==?utf-8?Q?ei Update der Mail Zertifik?==?utf-8?Q?ate

Marcus Roeckrath marcus.roeckrath at gmx.de
Fr Nov 2 11:12:12 CET 2018


Hallo Jens,

>  Das certs-request-certs-Skript aus dem certs-Paket ist IMHO
> einfacher zu
>  nutzen, da es auch das Extrahieren aller enthaltenen Zertifikate
> übernimmt:
>  
>  /var/install/bin/certs-request-cert --writecert --replace ssmtp
> <server> 465
>  /var/install/bin/certs-request-cert --writecert --replace smtp
> <server> 587
>  /var/install/bin/certs-request-cert --writecert --replace smtp
> <server> 25
>  /var/install/bin/certs-request-cert --writecert --replace pop3tls
> <server>
>  /var/install/bin/certs-request-cert --writecert --replace pop3
> <server> 995
>  /var/install/bin/certs-request-cert --writecert --replace imap3tls
> <server>
>  /var/install/bin/certs-request-cert --writecert --replace imap
> <server> 143
>  
>  Außer bei POP üer Port 587 oder 25 kann IMHO die Angabe des
> Portes im Aufruf
>  entfallen, da automatisch ermittelt.
>  
Danke für die hilfreiche Info.
Wäre super, das auch in die Dolu mit aufzunehmen[/quote]

Oder jemand schreibt das mal als Wiki-Artikel.

Zitat:
> Bei mir gab es übrigens noch eine weitere Hürde mit 1und1.
> Dort wird wohl gerade von "1und1" auf "ionos" umgestellt.
> 
> Beim Aufrauf von openssl s_client -connect pop.1und1.de:995
> -showcerts
> wird das Zertifikat von ionos runtergeladen.
> Beim weitern Update von relocation list, etc. verträgt sich das
> wohl 
> nicht mit pop.1und1.de bzw. pop.1und1.de.pem
> Erst nachdem ich die beiden Dateien unter /usr/local/ssl/certs
> gelöscht 
> hatte, hat die Auflösung der Zertifikate wieder geklappt.

Das darf eigentlich keine Rolle spielen. Wie ein Zertifikat benannt ist,
spielt keinerlei Rolle, das 1und1/ionos-Zertifikat könnte auch otto.pem
heißen.

Wird ein Zertifikat lokal benötigt, wird dieses über Hash-Werte
identifiziert - siehe auch die im certs-Verzeichnis liegenden
Hash-Links, die auf die Zertifikate verweisen.

Im mail-addon-certs-Paket habe ich aber natürlich das Problem, dass ein
mithilfe der Skripte des certs-Paketes heruntergeladenes Zertifikat
eines Servers xyz.de eben auch als abc.de.pem abgespeichert sein kann,
weil eben der CName auf abc.de lautet, xyz.de aber in den Altnames
steckt.

Deswegen verstehe ich auch noch nicht, wieso bei Alex immer wieder ein
pop.1und1.de.pem auftaucht, obwohl ich glaube, daass im
mail-addons-certs-Paket im letzten Jahr sauber gelöst zu haben. 
-- 
Gruß Marcus


Mehr Informationen über die Mailingliste Eisfair