[Eisfair] Zertifikate und alles was damit zusammenhängt aufräumen

Marcus Roeckrath marcus.roeckrath at gmx.de
Do Okt 26 00:30:57 CEST 2017 

Hallo Sascha,

Sascha Pohl wrote:

>>> Ich würde aber gerne auch noch das uralte, damals von mir erstellte CA
>>> loswerden. Zumindest, wenn der LDAP-Server dann trotzdem noch läuft.
>>> Außerdem finde ich den Inhalt einiger Unterordner noch sehr merkwürdig:
>>> Wofür ist der Ordner /var/certs/ssl/certs/archive?
>> 
>> Ist bei mir leer.
>> 
>> @Jürgen: Was landet darin?
> 
> Vermutlich kann ich den auch leeren, aber ich warte erstmal noch, was
> Jürgen dazu sagt.

Dann poste doch mal, was da bei dir drin ist.

>>> Wofür ist der Ordner /var/certs/ssl/certs/old?
>> 
>> Wenn die certs-Skripte Zertifikate runterladen, werden dort die alten
>> Zertifikate dorthin verschoben, bevor sie im Zertifikatsverzeichnis
>> überschrieben werden.
> 
> Kann dann doch sicherlich auch von Zeit zu Zeit geleert werden, oder?

Ja, mache ich selbst auch so.

>>> Was gehört in den Ordner /var/certs/ssl/newcerts?
>> 
>> Dort liegen Dateien der lokalen CA und der lokal erzeugten
>> Serverzertifikate.
> 
> Da dürften demnach auch Dateien liegen, die zu meinem alten CA gehören
> und die ich eigentlich löschen könnte?

Jürgen würde jetzt sagen, dass man nicht mehr benötigte Zertifikate nicht
löscht sondern widerruft.

>>> Was gehört in den Ordner /var/certs/ssl/private?
>> 
>> Die geheimen privaten Teile des lokalen CA und lokaler Serverzertifikate.
> 
> Hier dürfte ich dann wohl auch Reste von meiner alten CA finden können?

Die geheimen/privaten key-Dateien.

>>> Wofür ist der Ordner /var/certs/ssl/web?
>> 
>> Eine Webseite, damit Anwender sich das Zertifikate deiner CA
>> herunterladen können; wird in /var/www/htdocs/certs verlinkt.
>> 
>> Aufruf: http://<serveradresse>/certs
> 
> Die Seite kann ich aufrufen, aber die CA und die CRL kann ich dort nicht
> herunterladen, weil die ca.crt und die crl.pem nicht vorhanden sind.

Wenn du die gelöscht hast, sind sie natürlich nicht mehr abrufbar.

> Die Frage ist, ob die überhaupt da sein sollten, wenn ich kein eigenes
> CA einsetze, sondern mein Zertifikat von letsencrypt nutze.

Wenn Du keine lokalen Zertifikate erstellen willst, brauchst du auch keine
CA.

> Außerdem ist der Ordner durch eine .htaccess passwortgeschützt. Da weiß
> ich jetzt auch nicht, ob das standardmäßig so sein soll, oder ob ich die
> Datei da mal selbst angelegt habe.

Bestimmt, denn ein Zugriffsschutz macht da keinen Sinn, denn das
CA-Zertifikat muss downloadbarsein, wenn jemand das lokale Serverzertifikat
auf Gültigkeit überprüfen will, z. B. wenn du im lokalen Netz auf den
Clients mit Thunderbird verschlüsselt auf den Server zugreifen willst.

Wenn du nun aber ein Letsencrypt-Zertifikat benutzt, kann TB das über die
standardmäßig installierten Root/Zwischen-Zertifikate tun.

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair