[Eisfair] Certs: Sektionen im server.pem

[Alexander Dahl]

Hallo Marcus,

Marcus Roeckrath schrieb Samstag, 27. Februar 2016, 11:43 (CET):
> ein aktuell erzeugtes Server.pem enthält insgesamt drei Sektionen:
>
> Private-Key, DH-Parameter und Certificate

Private Key und Certificate sind zwingend nötig, DH ist optional, je
nachdem ob die Software damit um kann oder nicht.

> Muss der Privat-Key drin sein?

Es gibt zwei Möglichkeiten, entweder macht man alles in einzelne Dateien
oder man tut alles in eine. Die einzelnen Server-Dienste wollen das
durchaus unterschiedlich haben. Einige können nur mit einzelnen Dateien
umgehen, andere wollen alles in einer Datei, wieder andere können
beides. Zumindest ist das bei mir hängen geblieben aus der Konfiguration
von bspw. nginx, lighttpd, prosody und anderen.

> Wird das pem-File nicht z. B. an einen entfernten Browser ausgeliefert und
> damit auch die Private Sektion?

Nein. Der Server liest das ein, sehr wahrscheinlich über irgendeine
library-Funktion von openssl und beim Verbindungsaufbau wird das
rausgegeben, was benötigt wird.

> Was ist, wenn man ds server.pem an einem anderen Rechner importiert, damit
> gerät doch auch der Private-Key auf einen anderen Rechner.

Korrekt. Aber wieso solltest Du den Key auf einen anderen Rechner tun?
Normalerweise macht man einen Key pro Dienst oder vielleicht auch einen
Key pro Rechner, aber den Key auf einen anderen Rechner kopieren geht
normalerweise nicht, weil ja der common name gleich dem hostname sein
muss.

Es sei denn Du machst ein wildcard cert, aber das hat dann wieder andere
Vor- und Nachteile.

Grüße
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF  08FA 34AD CD00 7221 5CC6