[Eisfair] Zertifikate und alles was damit zusammenhängt aufräumen

Marcus Roeckrath marcus.roeckrath at gmx.de
Mi Okt 25 09:54:05 CEST 2017 

Hallo Sascha,

Sascha Pohl wrote:

> Ich würde gerne mal die Zertifikate auf meinem Server aufräumen, aber
> leider habe ich von diesem Thema keine Ahnung.

Ich versuchs mal, auch wenn ich auch noch nicht alle Siegel gebrochen habe.

> Früher hatte ich einen Account bei dyndns.org und habe mir dafür meine
> eigenen Zertifikate mit dem Paket certs erzeugt.
> Heutzutage habe ich eine andere Domain und die Zertifikate dafür habe
> ich von letsencrypt.
> Wofür benötige ich Zertifikate?
> apache, mini_httpd, pure-ftpd, exim, imapd, ipop3d, slapd

Die werden gebraucht, wenn jemand diese Dienste deines Server per
verschlüsselter Verbindung nutzen will.

Sinnvoller als ein eigenes Zertifikat für jeden Serverdienst vorzuhalten,
ist es, diese Zertifikatsnamen auf das generelle Serverzertifikat zu
verlinken.

Mach mal ein

ls -la /var/certs/ssl/certs/apache.pem

(etc. für die anderen Namen)

damit wir sehen, ob das Links oder "echte" Zertifikate sind.

Das Verlinken dieser Dienstzertifikate könnte dir das certs-dehydrated-Paket
abnehmen, da ich das aber selbst nicht einsetze, kann ich das nicht mit
Bestimmtheit sagen.

Das certs-Paket enthält die Möglichkeit die Dienstzertifikate auf ein lokal
erzeugtes Server-Zertifikat zu verlinken, daher vermute ich, dass dies auch
mit dem dehydrated-Paket geht. Aber dazu kann Jürgen als Paketmaintainer
mehr sagen.

Möglicherweise musst du die eigenständigen Zertifikate apache.pem und Co
zunächst löschen, damit die Verlinkungen angelegt werden können.

> Desweiteren für den Mailversand über einen Smarthost und für den
> Mailempfang durch fetchmail von einigen Mailkonten.

Die Zertifikate solltest du stehenlassen. Du erkennst sie an Dateinamen wie

mail.gmx.net.pem
pop.gmx.net.pem

> Am liebsten würde ich den ganzen Ordner /usr/local/ssl/certs mitsamt den
> ganzen Unterordnern löschen und nur die Sachen wieder besorgen, die
> benötigt werden.

Besser nicht.

Das Certs-Paket hat den Menupunkt

Identify unrequired certificates

welches schon vieles unützes Zertifikatszeugs wegräumt.

Danach dann auch mal die CRL bereinigen:

https://web.nettworks.org/wiki/display/e/CRLs+bereinigen

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair