[Eisfair] Certs kleiner Unfall.

Juergen Edner juergen at eisfair.org
Fr Apr 7 09:37:19 CEST 2017 

Hallo Detlef,

> für die Übersicht scheint mir das auch wesentlich besser zu sein.
> Ich versuche mal nachzuvollziehen. Korrigiere gern jeder Zeit.
> Die jetzige imapd.pem müsste dann eisfair.home.lan.pem heißen da dies
> die lokale Domain ist. Erstellt wurde sie mit CN=eisfair.home.lan.
> Die eisfair.home.lan.pem würde ich dann Verlinken auf die exim.pem,
> ipop3d.pem und imapd.pem. Damit wäre für interne Verbindungen alles klar?

Korrekt. Der Vollständigkeit wegen solltest Du dann auch noch alle
anderen, zugehörigen Dateien unter /usr/local/ssl in gleicher Weise
umbenennen (so sie denn auf Deinem Server existieren):

./private/imapd.key
./newcerts/imapd.p12
./newcerts/imapd.dh
./newcerts/imapd.crt
./csr/imapd.csr

> Für die apache.pem und pure-ftpd.pem müsste ich aber für extern eine
> neue schabau.goip.de.pem als Quelle erstellen und entsprechend Verlinken
> falls ich vor hätte irgendwann https oder sftp einzusetzen?
> Beim erstellen einer schabau.goip.de.pem müsste auch zwingend
> CN=schabau.goip.de angegeben sein?
> 
> Ich bräuchte also zwei *.pem, einmal für die interne Domain
> (eisfair.home.lan) und einmal für die externe (schabau.goip.de)?

Korrekt, so handhabe ich dies auch.

> Ich habe auch mehrere Apache Vhosts, da bräuchte ich dann für jeden eine
> eigene *.pem denn ein Link auf die schabau.goip.de.pem würde ja nicht
> gehen da diese ja mit CN=schabau.goip.de erstellt wäre?

Nicht ganz, da es möglich ist Zertifikate mit multiplen Domainnamen
zu erstellen. Dies unterstützt das certs-Paket seit der v1.3.7 (Anfang
2015) bei der Erstellung von selbst signierten Zertifikaten und das
certs_dehydrated-Paket von Anbeginn für die Erstellung von Let's
Encrypt-Zertifikaten. Stichwort: subjectAltName

Siehe auch:

  DEHYDRATED_DOMAIN_x_NAME
    Über diesen Parameter können eine oder mehrere FQDN-Namen
    (Fully Qualified Domain Name), getrennt durch einen Doppelpunkt,
    angegeben werden welche in ein TLS-Zertifikat einfließen
    sollen. Die erste Domain ist die Hauptdomain eines Zertifikates,
    alle folgenden, optionalen Einträge stellen alternative
    Domainnamen dar. Die Verwendung von IP-Adressen wird generell
    von Let's Encrypt^TM -Zertifikaten nicht unterstützt.

    Hinweis
      Es ist zu beachten, dass Let's Encrypt^TM  in Zertifikaten weder
      die Verwendung von IP-Adressen noch von inoffiziellen, selbst
      erstellten Domains wie .lan oder .local, etc. zulässt.

> Und... meine ca.pem wurde auch mit CN=eisfair.home.lan erstellt. Spielt
> das eine Rolle oder müsste ich die dann auch noch mal neu erstellen?

Ich dies ist nebensächlich. Ich selbst habe über die Jahre mein
CA-Zertifikat schon mehrfach erneuern müssen und habe mich deshalb
entschlossen die Dateien z.B. an Stelle von ca.pem wie folgt benannt:

ca-jed-certificate-authority-sha384-20241018.pem

Anschließend habe ich dann einen symbolischen Link ca.pem auf diese
Datei gesetzt. In gleicher Weise bin ich auch mit allen anderen,
zugehörigen Dateien verfahren.
Auf diese Weise konnte auch noch das vorherige CA-Root-Zertifikate
für eine Übergangszeit im Verzeichnis verbleiben, sodass ältere
Zertifikate verifiziert werden konnten. (BTW: Das Setzen von einem
symbolischen Link für das CA-Root-Zertifikate ist zur Zeit nicht
über die Oberfläche möglich, da die beschriebene Situation bei den
meisten Anwendern eher nicht vorkommt.

Gruß Jürgen--
Mail: juergen at eisfair.org

Mehr Informationen über die Mailingliste Eisfair