[Eisfair] Certs Neu-anfang

[Marcus Roeckrath]

Hallo Andreas,

Andreas Schmied wrote:

> bin fertig, alles läuft!
> Jetzt auch ohne Auskommentierung.

Fein.

>>> > Was ist denn mein Mailserver gegenüber dem Server des Providers?
>> Client, dafür brauchts das lokale Zertifikat nicht, da bekommst Du beim
>> Verbindungsaufbau das Zertifikat, dass der entfernte Server liefert;
>> dessen Kette daher auf Deinem Server auflösbar sein muss (Root- und
>> Zwischenzertifikate).
> Warum musste ich dann ein Zertifikat selbst erstellen damit der
> Mailversand ohne Auskommentierung käuft?

Das exim-Zertifikat wird für den Kontakt zum Provider nicht benötigt;
allerdigs ist exim eben Server (im lokalen netz) und Client (zum Provider).
Für die komplette Funktionalität in der auf eisfair üblichen Konfiguration
ist es eben erforderlich, dass ein lokales Zertifikat vorhanden ist.

Wie ich schon schrieb: exim ist nur glücklich, wenn er ein lokales
Zertifikat findet.

>> Server ist Dein eisfair gegenüber dem TB auf Deinen Clients; damit
>> allerdings der TB das lokale exim.pem akzeptiert, müsste der TB das
>> signierende CA kennen.
> Okay, ich brauche ein Server Zertifikat auf dem eis88, damit dieser sich
> beim TB auf einem Rechner im Heimnetz (dem ich ein ca.cert geschickt
> habe) ausweisen kann, richtig?

Ja, wenn Du im lokalen Netz eine verschlüsselte Verbindung von TB zum
eisfair-Mailserver aufbauen willst.

Dazu musst aber auch der TB dem exim-Zertifikat vertrauen können, was nur
durch entsprechenden Import des CA-Zertifikats in TB erreicht werden kann.

Übrigens ist exim auch dann Server, wenn Du mittels exim Mail von externen
Clients direkt annimmst.

> Wozu kann man dann noch ein Client Zertifikat erstellen?

Welches meinst Du?

Manage certificates macht da keinen Unterschied, Du wählst ja dort nur CA
oder Client/Server.

Technisch unterscheiden sich Client- und Server-Zertifikate nicht, es kommt
darauf an, in welcher Weise es von einem Programm verwendet wird.

> Wann braucht man das denn?

Vielleicht kann Jürgen da genauer sagen, wo auf eisfair ein Zertifikat als
Client-Zertifikat benutzt werden kann.

> Achso, ich bekomme mal wieder einen Schönheitsfehler nicht weg:
> (war schon vor der Zertifikatserstellung da)
> 
> 2016-03-04 18:29:32 1abtXg-00023D-Tl <= andreas.schmied at t-online.de
> H=macbook-wlan.fritz.box (MacBook.local) [192.168.1.101] P=esmtp S=657
> id=56D9C4▒
> │2016-03-04 18:29:33 1abtXg-00023D-Tl [109.237.140.26] SSL verify error:
> certificate name mismatch: "/OU=Domain Control Validated/OU=Hosted by
> Alfaho▒

Jeder Kunde von Alfhosting hat ja eine eigene Adresse zum Mailserver
xyz.alfahosting.de.

Entweder müsste es für jeden Kunden-Mailserver ein eigenes Zertifikat geben
oder aber ein sogenanntes Wildcard-Zertifikat *.alfahosting.de; dieses
merkt nun der exim und schreibt das als Info - es wird ja akzeotiert - in
das Log.

Hinweis deshalb, weil es Dich wohl auf diesen Umstand hinweisen will und
Dich damit auffordert, ob da alles mit rchten Dingen zugeht.

-- 
Gruss Marcus