[Eisfair] SSL-Mail - einfachere Lösung möglich?

[Dirk Alberti]

Am 06.11.2013 17:59, schrieb Juergen Edner:
> Auch auf einem eisfair- Server kannst Du Dir über den Menüpunkt 
> "Download ca certificate bundle" ein Bundle aller root-Zertifikate 
> herunter laden. 

Das hab ich schon gesehen, wusste aber nicht, was mir das in diesem Fall 
bringen könnte.

> Mittels verschiedener Skripte in /var/install/bin kann z.B. der Abruf 
> der Serverzertifikate (certs-request-cert) oder das Prüfen einer 
> Zertifikatskette (certs-show-chain) durchgeführt werden. Einzig 
> Zwischenzertifikate müssen eventuell manuell herunter geladen werden. 

Ja gut, das ist aber für einen kleinen "Heimnetz-Admin", der von der 
einfachen Bedienung des Eisfair-Servers angetan ist, schon wieder sehr 
undurchsichtig und dazu auch schlecht dokumentiert.

>> Ja, das wäre eine gute Idee, vielleicht nach Eingabe der Account- und
>> Mailserver-Daten alles andere automatisiert ablaufen lassen.

>> Hierbei ist zu beachten, dass automatische Prozesse eventuell dazu
>> genutzt werden können manipulierte Zertifikate unterzuschieben.
>> Jeder Anwender muss selbst entscheiden, ob er ein solches Skript
>> gegebenenfalls verwenden möchte.

Ich denke, in diesem speziellen Fall, um den es hier geht, ist das 
unterschieben doch eher zu vernachlässigen. Und außerdem, wer prüft das 
denn bei einem Mailclient? Also als ich meinen Thundebird heute für alle 
4 Mailaccounts auf SSL umgestellt habe, ging das alles ohne jegliche 
Nachfragen.

>> Wie ist das eigentlich, wenn die jeweiligen Zertifikate ablaufen? Liegt
>> dann jedesmal dasselbe Prozedere an?  Dann würde ja ein Modul fürs
>> Mail-Paket erst recht Sinn machen, vielleicht sogar gleich mit Übernahme
>> der Daten aus der Mail-Config.
> Wenn Zertifikate abgelaufen sind, müssen diese aktualisiert werden,
> dies ist eine normale administrative Tätigkeit wenn ich einen Server
> betreibe. Das mail-Paket warnt optional auch vor ablaufenden Server-
> Zertifikaten.

Ja, das habe ich befürchtet.  Dass die Warnung kommt, weiß ich. Und 
dann? Dann sind wir wieder bei der Eingabe von Befehlsketten mittels 
C&P, ohne eigentlich zu wissen, was da passiert, und in der Hoffnung, 
dass dann trotzdem alles klappt. Also quasi am eigentlichen 
Bedienkonzept von Eisfair vorbei.
Wäre es da nicht auch einfacher, z.B. für jemand wie mich, der nur einen 
kleinen Heim-Mail- und auch Webserver für den rein familiären Gebrauch 
betreibt, einen Menüpunkt zu haben wie: "Abgelaufenes Zertifikat erneuern"
Denn alle Jubeljahre, wenn irgendwelche Zertifikate ablaufen, geht 
wieder dasselbe stundenlange Gesuche los, wie das doch gleich noch war, 
dass ich die wieder aktualisiert bekomme. Nicht jeder steckt immer voll 
in der Thematik drin.


>
> Gruß Jürgen
Gruß Dirk