[Eisfair] E1: Umstellung auf SSL-Mail

Stefan Puschek stefan.puschek at t-online.de
Mo Nov 25 19:19:18 CET 2013 

Hallo Jürgen,

danke für die schnelle Antwort.
Juergen Edner <juergen at eisfair.org> schrieb:
…
>> CA-Zertifikate besorgen -na ja :(
>> Wenn ich mich nicht irre such ich bei jedem pop-Server nach den 
>> Zertifikatsblöcken nach dem Text 'issuer' - dort steht die CA. Ich brauche 
also 
>> Verisign und Thawte.
>> 
>> Aber sowohl bei Thawte als auch bei Verisign gibts jede Menge zum Download 
was 
>> mir absolut nix sagt. Wonach suche ich hier eigentlich???
> 
> Grundsätzlich zeigt der Subject-String im Server-Zertifikat den
> Domainnamen des Servers an, der Issuer-String hingegen gibt den
> Aussteller des Zertifikates an.
> 
> Das Zertifikat des Ausstellers wiederum muss genau die
> Issuer-Zeichenfolge des vorherigen Zertifikates im Subject-String aufweisen.
> 
> Sind Subject- und Issuer-String eines Zertifikates identisch handelt es
> sich um das letzte Zertifikat (Root-Zertifikat) einer Zertifikatskette.

das heisst in diesem Fall: der erste Block aus openssl s_client -connect 
pop3.web.de:995 -showcerts gibt mir das Zertifikat vom pop_server_bei_web_de, 
das von Thawte-US signiert wurde.
der zweite Block ist das Zertifikat von Thawte-US, das von Thawte-ZA signiert 
wurde.
der dritte Block ist das Root-Zertifikat von Thawte-ZA

Kann ich mir meine .pem Dateien aus diesen Daten erstellen, oder muss ich diese 
Daten bei Thawte-US bzw Thawte-ZA suchen?

> # openssl x509 -in pop3.web.de.pem -subject -issuer -noout
> subject= /C=DE/ST=Rhineland-Palatinate/L=Montabaur/O=1&1 Mail & Media
> GmbH/OU=WEB.DE/CN=pop3.web.de
> issuer= /C=US/O=Thawte, Inc./CN=Thawte SSL CA
> 
> # openssl x509 -subject -issuer -noout -in thawte_SSL_CA.pem
> subject= /C=US/O=Thawte, Inc./CN=Thawte SSL CA
> issuer= /C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c)
> 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
> 
> # openssl x509 -in thawte_Primary_Root_CA.pem  -subject -issuer -noout
> subject= /C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c)
> 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
> issuer= /C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c)
> 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
> 
> Mittels des Befehls '/var/install/bin/certs-show-chain pop3.web.de.pem'
> kannst Du dir dies auch anzeigen lassen ;-)

Das klappt nicht:

*
| certificate: pop3.web.de.pem (85e76152)
| subject    : /C=DE/ST=Rhineland-Palatinate/L=Montabaur/O=1&1 Mail & Media GmbH
| issuer     : /C=US/O=Thawte, Inc./CN=Thawte SSL CA
|
+-> Error: file '/usr/local/ssl/certs/978601d0.0' missing!

Groetjes
Stefan

Mehr Informationen über die Mailingliste Eisfair