[Eisfair] Certs: Sektionen im server.pem

Alexander Dahl lespocky at web.de
Sa Feb 27 22:10:19 CET 2016


Hallo Marcus,

Marcus Roeckrath schrieb Samstag, 27. Februar 2016, 19:52 (CET):
> An exim sieht man, dass die Übertragung eines Serverzertifikats aber
> durchaus zwingend sein kann.

Wie Jürgen bereits schrieb: Es ist nicht zwingend. Man kann exim so
einrichten, dass auf ein bestimmtes Zertifikat geprüft wird, aber man
muss es nicht so einrichten. Bei eisfair wird halt über die
Config-Schicht eine bestimmte Einrichtung vorgenommen, _eine_ aber nicht
die einzig mögliche und auch keine technisch zwingende.

> Ich will doch nicht - bis auf, dass ich meinen Desktop-PC mein CA bekannt
> gemacht habe, damit er dem server-Zertifikat traut.

Ja wenn Du Deine eigene CA betreibst, dann kann man das Cert der CA
natürlich auf dem Client installieren.

> Mein Anstoss zu dem Newsbeitrag war, dass in dem pem eben nun auch etwas mit
> drinsteckt, was niemand sehen sollte, auch aufgrund der Diskussion um
> pure-ftpd und der Frage, was Fabian in der Fehleranalyse hätte posten
> dürfen.

Wie Jürgen bereits beschrieben hat: Du hast mehrere Möglichkeiten dafür.
Anstatt das Cert als Datei vom Server zu kopieren, kannst Du – so wie
auch bei öffentlichen SMTP-Servern – auch openssl benutzen und es über's
Netz mit einem Verbindungsaufbau zum bspw. STMP-Port holen, wenn Du das
Server-Cert wirklich woanders brauchst. Es wird Dir ja vom Server bei
jedem Verbindungsaufbau ausgeliefert. Die nötigen Kommandoaufrufe stehen
in den HowTos und in den Beiträge von Jürgen.

> Abgesehen davon, was hier in der Newsgroup überhaupt erwünscht ist, wäre der
> reine Zertifikatsblock des pure-ftpd.pem IMHO problemlos (aus
> Sicherheitsgründen) postbar, hingegen der Private Key Teil unter gar keinen
> Umständen.

Ja man könnte den öffentlichen Block posten ohne damit den Server zu
kompromittieren, aber ganz ehrlich: wozu? Inwiefern sollte das hier
helfen? Alle nötigen Informationen gehen auch aus den Start- und
End-Zeilen der Blöcke hervor.

Grüße
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF  08FA 34AD CD00 7221 5CC6


Mehr Informationen über die Mailingliste Eisfair