[Eisfair] E1: Umstellung auf SSL-Mail
Juergen Edner
juergen at eisfair.org
Mo Nov 25 16:22:12 CET 2013
Hallo Stefan,
> Muss ich eigentlich gmx.de und gmx.net getrennt behandeln auch wenn
> die Fingerprints identisch sind?
dann wird es sich wohl um das gleiche Zertifikat handelt und somit
sollte eine getrennte Behandlung meines Erachtens nicht notwendig sein.
> CA-Zertifikate besorgen -na ja :(
> Wenn ich mich nicht irre such ich bei jedem pop-Server nach den
> Zertifikatsblöcken nach dem Text 'issuer' - dort steht die CA. Ich brauche also
> Verisign und Thawte.
>
> Aber sowohl bei Thawte als auch bei Verisign gibts jede Menge zum Download was
> mir absolut nix sagt. Wonach suche ich hier eigentlich???
Grundsätzlich zeigt der Subject-String im Server-Zertifikat den
Domainnamen des Servers an, der Issuer-String hingegen gibt den
Aussteller des Zertifikates an.
Das Zertifikat des Ausstellers wiederum muss genau die
Issuer-Zeichenfolge des vorherigen Zertifikates im Subject-String aufweisen.
Sind Subject- und Issuer-String eines Zertifikates identisch handelt es
sich um das letzte Zertifikat (Root-Zertifikat) einer Zertifikatskette.
# openssl x509 -in pop3.web.de.pem -subject -issuer -noout
subject= /C=DE/ST=Rhineland-Palatinate/L=Montabaur/O=1&1 Mail & Media
GmbH/OU=WEB.DE/CN=pop3.web.de
issuer= /C=US/O=Thawte, Inc./CN=Thawte SSL CA
# openssl x509 -subject -issuer -noout -in thawte_SSL_CA.pem
subject= /C=US/O=Thawte, Inc./CN=Thawte SSL CA
issuer= /C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c)
2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
# openssl x509 -in thawte_Primary_Root_CA.pem -subject -issuer -noout
subject= /C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c)
2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
issuer= /C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c)
2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
Mittels des Befehls '/var/install/bin/certs-show-chain pop3.web.de.pem'
kannst Du dir dies auch anzeigen lassen ;-)
Gruß Jürgen
--
Mail: juergen at eisfair.org
Mehr Informationen über die Mailingliste Eisfair