[Eisfair] Certs: Sektionen im server.pem

[Marcus Roeckrath]

Hallo Alexander,

Alexander Dahl wrote:

>> Was ist, wenn man ds server.pem an einem anderen Rechner importiert,
>> damit gerät doch auch der Private-Key auf einen anderen Rechner.
> 
> Korrekt. Aber wieso solltest Du den Key auf einen anderen Rechner tun?
> Normalerweise macht man einen Key pro Dienst oder vielleicht auch einen
> Key pro Rechner, aber den Key auf einen anderen Rechner kopieren geht
> normalerweise nicht, weil ja der common name gleich dem hostname sein
> muss.

Wenn ich mir das Zertifikat eines Provider-Mailserver hole, importiere ich
ja auch ein pem auf dem eis.

Bei exim muss man genau dieses tun, um eine verschlüsselte Verbindung zu
initiieren; nur wenn der lokal gespeicherte Schlüssel mit dem vom Provider
übermittelten Zertifikats übereinstimmt, kommt eine Verbindung zustande.

fetchmail vergleicht das über den Fingerprint; habe aber noch nie
ausprobiert, ob man nun das Serverzertifikat wieder löschen könnte.

Der Abruf des Zertifikats beim Privider liefert natürlich nur das reine
Zertifikat aus.

Ich denke, dass es schon Sinn machen kann, ein Zertifikat - und nichts
anderes ist ja das server.pem - auf einem Client zu installieren.

Wenn man nun zu diesem Zweck einfach die Zertifikatsdatei komplett mittels
Datenträger überträgt, steht man nun in der Gefahr private Schlüsselteile
preiszugeben.

Also ist hier einfach Vorsicht angesagt und vor einem Transfer das pem zu
bereinigen.

-- 
Gruss Marcus