[Eisfair] E1: Umstellung auf SSL-Mail

Marcus Roeckrath marcus.roeckrath at gmx.de
So Dez 8 19:45:09 CET 2013


Hallo Carsten,

Carsten Lippert wrote:

> In /usr/local/ssl/certs/ lagen vor Beginn meiner Umstellungsarbeiten
> bereits eine große Menge von *.pem Dateien(> 100 Stk.). Sie haben für
> mich Dateinamen ohne Sinn, wie z.B. 57bbd831.pem usw..

Die sind nach ihren Hashwerten benannt. Du findest in diesem Verzeichnis
auch *.0 Dateien, die auf die eigentliche Zertifikatsdatei verweisen.

Dafür ist das "rehashen" zuständig.

> Woher mögen die sein, ich habe noch nie bewußt mit SSL zu tun gehabt?

Z. B. durch Bentzung des Menupunkten "Download CA Bundle".

Diese *.pem-Zertifikate sind grundlegende Zertifikate, die für die
Zertifikatsketten gebraucht werden und ersparen es Dir, danach im Web
selbst suchen zu müssen.

> Außerdem fand ich sie dann in ein paar Zertifikatsketten wieder, die ich
> nach dem Erstellen der notwendigen *-pem Dateien mit
> /var/install/bin/certs-show-chain *.*.*.pem aufgerufen habe.
> Ich meine damit, daß diese nicht von mir bewußt erstellt wurden, aber
> dennoch in einer Kette aufgelistet sind.

Weil es eben Zertifikate verschiedener Tiefe sind, mit denen Zertifikate
"unterschrieben" wurden.

> Woher weiß ich wirklich, daß die Zertifikatsketten vollständig sind?
> Daran, das ein +-> end of chain! dort steht?

Genau.

>> Nein, es ist im allgemeinen nichts zu tun!
> 
> Ups, beim Überfliegen des Threads laß sich das für mich noch ganz
> anders...

Da ging es noch darum, ob man SMARTHOST_FORCE_TLS=yes setzen muss, um einen
verschlüsselten Versand zu erreichen.

> Ich würde sagen, ich habe das so konfiguriert, das ich immer über den
> selben SMTP-Server sende, egal an wen die Mail geht.

Ich sehe da keinen Änderungsbedarf.

-- 
Gruss Marcus


Mehr Informationen über die Mailingliste Eisfair