[Eisfair] Nachhilfe Mail Zertifizierung

[Juergen Edner]

Hallo Andreas,

> Tatsächlich hat mich aber weitergebracht, als Server-Zertifikat-Namen
> den DNS-Namen zu verwenden.
> Plötzlich konnte ich das Server-Zertifikat signieren.

Das klingt schon einmal nicht schlecht.

> Was nach wie vor nicht geht:
> Egal welchen Clientzertifikat-Namen und Common-Namen im
> Client-Zertifikat ich verwende, keines der Client-Zertifikate
> reicht zusammen mit der Zertifizierungsstelle aus, um die Meldung der
> Ausnahmeregel in Thunderbird zu vermeiden.

Du verwechselst scheinbar immer noch die Funktion von Client-
und Server-Zertifikate.

Mit einem Client-Zertifikat kann sich ein Programm (Client)
gegenüber einem Server ausweisen. Dies wird in Thunderbird
NICHT benötigt.

Ein Server-Zertifikat identifiziert einen Server und bestätigt
dass dieser der ist für den er sich ausgibt. Die Glaubwürdigkeit
wird geprüft, indem verschiedene Dinge des Zertifikates geprüft
werden (die Reihenfolge kann variieren):

1. Der im CN-Feld angegebene Servername muss gleich dem DNS-Namen
    sein über den Du den Server ansprichst. D.h 'srv.privat.lan'
    wäre z.B. ungleich 'mail.privat.lan' oder '192.168.1.10'.

2. Die Gültigkeit des Serverzertifikates wird geprüft. Nur wenn
    das Zertifikat nicht abgelaufen ist wird eine Verbindung zu
    dem Server aufgebaut.

3. Die Zertifikatskette an sich muss vollständig und korrekt sein.
    Wenn Du also willst, dass Thunderbird das Serverzertifikat
    akzeptiert, musst Du Dein CA-Root-Zertifikat in den Zertifkats-
    speicher importieren, NICHT das Serverzertifikat.
    -> Extras->Einstellungen->Erweitert->Zertifikate->Zertifkate
    verwalten->Zertifizierungsstellen

    Hier findet sich z.B. eine bebilderte Anleitung wie dies
    üblicherweise abläuft:

    Achtung, das beschriebene CAcert-Zertifikat brauchtst Du NICHT
    bei Dir importieren, sondern das CA-Zertfikat Deiner eigenen
    CA.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org