[Eisfair] Certs: Sektionen im server.pem

[Marcus Roeckrath]

Hallo Alexander,

Alexander Dahl wrote:

> Für den Aufbau einer SSL-Verbindung ist auf Client-Seite keine
> Zertifikatsdatei nötig. Sonst wäre https praktisch unbrauchbar.

Bei https klar, wer möchte sich schon jedes Serverzertifikat vor
https-Nutzung irgendwo besorgen.

An exim sieht man, dass die Übertragung eines Serverzertifikats aber
durchaus zwingend sein kann.

> Quasi den öffentlichen Teil. Der private verbleibt immer auf dem Server.
> 
>> Ich denke, dass es schon Sinn machen kann, ein Zertifikat - und nichts
>> anderes ist ja das server.pem - auf einem Client zu installieren.
> 
> Der private Teil des Serverzertifikats hat ausschließlich auf dem Server
> zu sein, nirgends sonst!

Ich schrieb das doch genau so.

>> Wenn man nun zu diesem Zweck einfach die Zertifikatsdatei komplett
>> mittels Datenträger überträgt, steht man nun in der Gefahr private
>> Schlüsselteile preiszugeben.
> 
> Ja logisch, aber das ist so doch auch überhaupt nicht vorgesehen. Wenn
> Du den privaten Schlüssel vom Server irgendwo hin kopierst, machst Du
> grundsätzlich was falsch. Wenn überhaupt, kannst Du maximal den
> öffentlichen Teil kopieren.

Nein, ich will keine privaten Schlüssel kopieren!

Wenn dann natürlich nur den öffentlichen Part, z. B. im Falle des Betriebs
meiner Mailserver mit exim als smtp; dann brauche ich auf beiden jeweils
das öffentliche Zertifikat des anderen.

> Bei SSL heißt der private Teil oft "key" und der öffentliche "cert" aber
> genau geht das aus den Headern in den Blöcken im .pem File hervor.
> Nochmal: der private Teil bzw. Key verbleibt auf dem Server. Du kopierst
> den NICHT auf irgendwelche anderen Rechner!

Ja, ja, ja: Es ging nur darum, dass man eben nun aufpassen sollte, seitdem
im pem-File eben anders als früher nun auch der private Teil mit drinhängt.

>> Also ist hier einfach Vorsicht angesagt und vor einem Transfer das pem zu
>> bereinigen.
> 
> Ein Transfer ist doch meistens gar nicht nötig. Wieso willst Du die
> Schlüssel überhaupt vom Server runter kopieren? o.O

siehe mein Beispiel von oben mit den beiden Mailservern.

Ich will doch nicht - bis auf, dass ich meinen Desktop-PC mein CA bekannt
gemacht habe, damit er dem server-Zertifikat traut.

Mein Anstoss zu dem Newsbeitrag war, dass in dem pem eben nun auch etwas mit
drinsteckt, was niemand sehen sollte, auch aufgrund der Diskussion um
pure-ftpd und der Frage, was Fabian in der Fehleranalyse hätte posten
dürfen.

Abgesehen davon, was hier in der Newsgroup überhaupt erwünscht ist, wäre der
reine Zertifikatsblock des pure-ftpd.pem IMHO problemlos (aus
Sicherheitsgründen) postbar, hingegen der Private Key Teil unter gar keinen
Umständen.
 
-- 
Gruss Marcus