[Eisfair] Certs: Sektionen im server.pem

[Juergen Edner]

Hallo Marcus,

> An exim sieht man, dass die Übertragung eines Serverzertifikats aber
> durchaus zwingend sein kann.

nein dies ist nicht zwingend, da nicht erforderlich.

> Wenn dann natürlich nur den öffentlichen Part, z. B. im Falle des Betriebs
> meiner Mailserver mit exim als smtp; dann brauche ich auf beiden jeweils
> das öffentliche Zertifikat des anderen.

Nein, dies ist nicht erforderlich, da es von einem Dienst immer zur
Verfügung gestellt wird.  Mittels "openssl s_client ...-Befehl kannst
Du dies prüfen.

> Ich will doch nicht - bis auf, dass ich meinen Desktop-PC mein CA bekannt
> gemacht habe, damit er dem server-Zertifikat traut.

BTW: Das CA-Zertifikat und die CRL eines eisfair-Servers solltest Du
     eigentlich auch über die Web-Adresse https://<dein-server>/certs/
     herunterladen können, so denn auch ein Webserver installiert wurde.

> Mein Anstoss zu dem Newsbeitrag war, dass in dem pem eben nun auch etwas mit
> drinsteckt, was niemand sehen sollte, auch aufgrund der Diskussion um
> pure-ftpd und der Frage, was Fabian in der Fehleranalyse hätte posten
> dürfen.

Du machst nichts falsch, wenn Du mit Hilfe des grep-Befehls prüfst, ob
die Zertifikatsteile vorhanden sind:

# grep "^---" /usr/local/ssl/certs/pure-ftpd.pem
-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----
-----BEGIN DH PARAMETERS-----
-----END DH PARAMETERS-----
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

Darüber hinaus solltest Du mittels des ls-Befehls prüfen, ob ein
symbolischer Link verwendet wird oder nicht:

# ls -al /usr/local/ssl/certs/pure-ftpd.pem
lrwxrwxrwx 1 root root 47 Mar  4  2015
/usr/local/ssl/certs/pure-ftpd.pem -> /usr/local/ssl/certs/<dein-server>.pem

Gruß Jürgen
-- 
Mail: juergen at eisfair.org