[Eisfair] Certs Neu-anfang

Marcus Roeckrath marcus.roeckrath at gmx.de
Fr Mär 4 17:16:12 CET 2016


Hallo Andreas,

Andreas Schmied wrote:

> Alles neu gemacht:
> Ausgangslage:
> Funktionierender Mailserver mit den 'auskommentierten' Zeilen in
> .../configure damit der TLS Mailversand klappt.
> 
> --------------------
>   ...
>   tls_certificate   = /usr/local/ssl/certs/exim.pem
>   tls_privatekey    = /usr/local/ssl/certs/exim.pem
> --------------
> 
> Absicht:
> Zertifikatserstellung damit der TLS Mailversand auch ohne
> 'auskommentierte' Zeilen funktioniert.
> Im Heimnetz will ich keine verschlüsselte Verbindungen nutzen
> 
> Ich stecke jetzt bei:
> 
> Die Zertifikatserstellung (CERT)
> Punkt 5
> 
> fest, weil ich nicht genau weiß wie ich die nächste Frage beantworten
> soll: 1 server usage
> 2 client usage

Erstmal erstellt man ein CA, d. h.

Manage Certificates

1 -> 1

Dann die Schritte für das CA durchlaufen.

Dann

Manage certificates

1 -> 2

Dann

2 -> n

Name eingeben: eis88.home.lan

und alle Schritte durchlaufen.

> Was ist denn mein Mailserver gegenüber dem Server des Providers?

Client, dafür brauchts das lokale Zertifikat nicht, da bekommst Du beim
Verbindungsaufbau das Zertifikat, dass der entfernte Server liefert; dessen
Kette daher auf Deinem Server auflösbar sein muss (Root- und
Zwischenzertifikate).

Dein lokales Zertifikat baruchst Du, wenn sich andere PCs mit Deinem Server
verbinden und um exim glücklich zu machen - er möchte halt gerne ein
eigenes lokales Zertifikat haben.

Server ist Dein eisfair gegenüber dem TB auf Deinen Clients; damit
allerdings der TB das lokale exim.pem akzeptiert, müsste der TB das
signierende CA kennen.

Daher rate ich, zwischen TB und lokalem Mailserver keine verschlüsselte
Verbindung aufzubauen; erforderlich ist aus Sicherheitsgründen allerdings
seit einiger Zeit die Verwendung eines verschlüsselten Passworts.

> Muss ich diesen Prozeß zweimal durchlaufen, einmal um ein Server
> Zertifikat und ein anderes Mal um ein Client Zertifikat zu erstellen?

Nein, Du erstellst zunächst das loakle CA-Zertifikat, danach das lokale
Serverzertifikat.

-- 
Gruss Marcus


Mehr Informationen über die Mailingliste Eisfair