[Eisfair] Zertifikate und alles was damit zusammenhängt aufräumen
Sascha Pohl
sascha at pohl-bo.de
Do Okt 26 01:02:24 CEST 2017
Hallo Marcus,
Am 26.10.2017 um 00:30 schrieb Marcus Roeckrath:
>>>> Wofür ist der Ordner /var/certs/ssl/certs/archive?
>>>
>>> Ist bei mir leer.
>>>
>>> @Jürgen: Was landet darin?
>>
>> Vermutlich kann ich den auch leeren, aber ich warte erstmal noch, was
>> Jürgen dazu sagt.
>
> Dann poste doch mal, was da bei dir drin ist.
server # ls -la /var/certs/ssl/certs/archive
total 736
drwxr-xr-x 2 root root 12288 Jul 2 23:46 .
drwxr-xr-x 4 root root 20480 Oct 25 22:01 ..
-rw-r--r-- 1 root root 1380 Sep 24 2015 A-Trust-nQual-03.pem
-rw-r--r-- 1 root root 2766 Sep 24 2015 ACCVRAIZ1.pem
-rw-r--r-- 1 root root 2036 Sep 24 2015 ACEDICOM_Root.pem
-rw-r--r-- 1 root root 2275 Sep 24 2015 AC_Raiz_Certicamara_S.A..pem
-rw-r--r-- 1 root root 2044 Sep 24 2015 Actalis_Authentication_Root_CA.pem
-rw-r--r-- 1 root root 1517 Sep 24 2015 AddTrust_External_Root.pem
-rw-r--r-- 1 root root 1477 Sep 24 2015
AddTrust_Low-Value_Services_Root.pem
-rw-r--r-- 1 root root 1473 Sep 24 2015 AddTrust_Public_Services_Root.pem
-rw-r--r-- 1 root root 1485 Sep 24 2015
AddTrust_Qualified_Certificates_Root.pem
-rw-r--r-- 1 root root 1201 Sep 24 2015 AffirmTrust_Commercial.pem
-rw-r--r-- 1 root root 1201 Sep 24 2015 AffirmTrust_Networking.pem
-rw-r--r-- 1 root root 1886 Sep 24 2015 AffirmTrust_Premium.pem
-rw-r--r-- 1 root root 752 Sep 24 2015 AffirmTrust_Premium_ECC.pem
-rw-r--r-- 1 root root 1315 Sep 24 2015
ApplicationCA_-_Japanese_Government.pem
-rw-r--r-- 1 root root 1258 Sep 24 2015 Atos_TrustedRoot_2011.pem
-rw-r--r-- 1 root root 2162 Sep 24 2015
Autoridad_de_Certificacion_Firmaprofesional_CIF_A62634068.pem
-rw-r--r-- 1 root root 1258 Sep 24 2015 Baltimore_CyberTrust_Root.pem
-rw-r--r-- 1 root root 1209 Sep 24 2015 Buypass_Class_2_CA_1.pem
-rw-r--r-- 1 root root 1911 Sep 24 2015 Buypass_Class_2_Root_CA.pem
-rw-r--r-- 1 root root 1911 Sep 24 2015 Buypass_Class_3_Root_CA.pem
-rw-r--r-- 1 root root 1465 Sep 24 2015 CA_Disig.pem
-rw-r--r-- 1 root root 1931 Sep 24 2015 CA_Disig_Root_R1.pem
-rw-r--r-- 1 root root 1931 Sep 24 2015 CA_Disig_Root_R2.pem
-rw-r--r-- 1 root root 1979 Sep 24 2015 CFCA_EV_ROOT.pem
-rw-r--r-- 1 root root 1214 Sep 24 2015 CNNIC_ROOT.pem
-rw-r--r-- 1 root root 1485 Sep 24 2015 COMODO_Certification_Authority.pem
-rw-r--r-- 1 root root 938 Sep 24 2015
COMODO_ECC_Certification_Authority.pem
-rw-r--r-- 1 root root 2081 Sep 24 2015
COMODO_RSA_Certification_Authority.pem
-rw-r--r-- 1 root root 1700 Sep 24 2015
Camerfirma_Chambers_of_Commerce_Root.pem
-rw-r--r-- 1 root root 1712 Sep 24 2015
Camerfirma_Global_Chambersign_Root.pem
-rw-r--r-- 1 root root 1327 Sep 24 2015 Certigna.pem
-rw-r--r-- 1 root root 2000 Sep 24 2015 Certinomis_-_Autorite_Racine.pem
-rw-r--r-- 1 root root 1988 Sep 24 2015 Certinomis_-_Root_CA.pem
-rw-r--r-- 1 root root 1295 Sep 24 2015 Certplus_Class_2_Primary_CA.pem
-rw-r--r-- 1 root root 1116 Sep 24 2015 Certum_Root_CA.pem
-rw-r--r-- 1 root root 1351 Sep 24 2015 Certum_Trusted_Network_CA.pem
-rw-r--r-- 1 root root 2587 Sep 24 2015
Chambers_of_Commerce_Root_-_2008.pem
-rw-r--r-- 1 root root 1432 Sep 24 2015
China_Internet_Network_Information_Center_EV_Certificates_Root.pem
-rw-r--r-- 1 root root 1299 Sep 24 2015 ComSign_CA.pem
-rw-r--r-- 1 root root 1331 Sep 24 2015 ComSign_Secured_CA.pem
-rw-r--r-- 1 root root 1513 Sep 24 2015 Comodo_AAA_Services_root.pem
-rw-r--r-- 1 root root 1530 Sep 24 2015 Comodo_Secure_Services_root.pem
-rw-r--r-- 1 root root 1534 Sep 24 2015 Comodo_Trusted_Services_root.pem
-rw-r--r-- 1 root root 1315 Sep 24 2015 Cybertrust_Global_Root.pem
-rw-r--r-- 1 root root 1513 Sep 24 2015 D-TRUST_Root_Class_3_CA_2_2009.pem
-rw-r--r-- 1 root root 1534 Sep 24 2015
D-TRUST_Root_Class_3_CA_2_EV_2009.pem
-rw-r--r-- 1 root root 1457 Sep 24 2015 DST_ACES_CA_X6.pem
-rw-r--r-- 1 root root 1197 Sep 24 2015 DST_Root_CA_X3.pem
-rw-r--r-- 1 root root 1347 Sep 24 2015 DigiCert_Assured_ID_Root_CA.pem
-rw-r--r-- 1 root root 1303 Sep 24 2015 DigiCert_Assured_ID_Root_G2.pem
-rw-r--r-- 1 root root 849 Sep 24 2015 DigiCert_Assured_ID_Root_G3.pem
-rw-r--r-- 1 root root 1335 Sep 24 2015 DigiCert_Global_Root_CA.pem
-rw-r--r-- 1 root root 1291 Sep 24 2015 DigiCert_Global_Root_G2.pem
-rw-r--r-- 1 root root 837 Sep 24 2015 DigiCert_Global_Root_G3.pem
-rw-r--r-- 1 root root 1363 Sep 24 2015
DigiCert_High_Assurance_EV_Root_CA.pem
-rw-r--r-- 1 root root 1984 Sep 24 2015 DigiCert_Trusted_Root_G4.pem
-rw-r--r-- 1 root root 1153 Sep 24 2015
Digital_Signature_Trust_Co._Global_CA_1.pem
-rw-r--r-- 1 root root 1153 Sep 24 2015
Digital_Signature_Trust_Co._Global_CA_3.pem
-rw-r--r-- 1 root root 2239 Sep 24 2015
E-Tugra_Certification_Authority.pem
-rw-r--r-- 1 root root 2101 Sep 24 2015
EBG_Elektronik_Sertifika_Hizmet_Saglayicisi.pem
-rw-r--r-- 1 root root 1907 Sep 24 2015 EC-ACC.pem
-rw-r--r-- 1 root root 1501 Sep 24 2015
Entrust.net_Premium_2048_Secure_Server_CA.pem
-rw-r--r-- 1 root root 1639 Sep 24 2015
Entrust_Root_Certification_Authority.pem
-rw-r--r-- 1 root root 1088 Sep 24 2015
Entrust_Root_Certification_Authority_-_EC1.pem
-rw-r--r-- 1 root root 1530 Sep 24 2015
Entrust_Root_Certification_Authority_-_G2.pem
-rw-r--r-- 1 root root 946 Sep 24 2015
Equifax_Secure_Global_eBusiness_CA.pem
-rw-r--r-- 1 root root 930 Sep 24 2015 Equifax_Secure_eBusiness_CA_1.pem
-rw-r--r-- 1 root root 1214 Sep 24 2015 GeoTrust_Global_CA.pem
-rw-r--r-- 1 root root 1238 Sep 24 2015 GeoTrust_Global_CA_2.pem
-rw-r--r-- 1 root root 1266 Sep 24 2015
GeoTrust_Primary_Certification_Authority.pem
-rw-r--r-- 1 root root 987 Sep 24 2015
GeoTrust_Primary_Certification_Authority_-_G2.pem
-rw-r--r-- 1 root root 1440 Sep 24 2015
GeoTrust_Primary_Certification_Authority_-_G3.pem
-rw-r--r-- 1 root root 1931 Sep 24 2015 GeoTrust_Universal_CA.pem
-rw-r--r-- 1 root root 1935 Sep 24 2015 GeoTrust_Universal_CA_2.pem
-rw-r--r-- 1 root root 711 Sep 24 2015 GlobalSign_ECC_Root_CA_-_R4.pem
-rw-r--r-- 1 root root 792 Sep 24 2015 GlobalSign_ECC_Root_CA_-_R5.pem
-rw-r--r-- 1 root root 1258 Sep 24 2015 GlobalSign_Root_CA.pem
-rw-r--r-- 1 root root 1351 Sep 24 2015 GlobalSign_Root_CA_-_R2.pem
-rw-r--r-- 1 root root 1226 Sep 24 2015 GlobalSign_Root_CA_-_R3.pem
-rw-r--r-- 1 root root 2579 Sep 24 2015 Global_Chambersign_Root_-_2008.pem
-rw-r--r-- 1 root root 1445 Sep 24 2015 Go_Daddy_Class_2_CA.pem
-rw-r--r-- 1 root root 1363 Sep 24 2015
Go_Daddy_Root_Certificate_Authority_-_G2.pem
-rw-r--r-- 1 root root 1165 Sep 24 2015 Hongkong_Post_Root_CA_1.pem
-rw-r--r-- 1 root root 1919 Sep 24 2015 IdenTrust_Commercial_Root_CA_1.pem
-rw-r--r-- 1 root root 1927 Sep 24 2015
IdenTrust_Public_Sector_Root_CA_1.pem
-rw-r--r-- 1 root root 2117 Sep 24 2015 Izenpe.com.pem
-rw-r--r-- 1 root root 1757 Sep 24 2015 Juur-SK.pem
-rw-r--r-- 1 root root 2709 Sep 24 2015 Microsec_e-Szigno_Root_CA.pem
-rw-r--r-- 1 root root 1457 Sep 24 2015 Microsec_e-Szigno_Root_CA_2009.pem
-rw-r--r-- 1 root root 1473 Sep 24 2015
NetLock_Arany_Class_Gold_Fotanusitvany.pem
-rw-r--r-- 1 root root 1890 Sep 24 2015 NetLock_Business_Class_B_Root.pem
-rw-r--r-- 1 root root 1898 Sep 24 2015 NetLock_Express_Class_C_Root.pem
-rw-r--r-- 1 root root 2304 Sep 24 2015 NetLock_Notary_Class_A_Root.pem
-rw-r--r-- 1 root root 2417 Sep 24 2015
NetLock_Qualified_Class_QA_Root.pem
-rw-r--r-- 1 root root 1408 Sep 24 2015
Network_Solutions_Certificate_Authority.pem
-rw-r--r-- 1 root root 1424 Sep 24 2015
OISTE_WISeKey_Global_Root_GA_CA.pem
-rw-r--r-- 1 root root 2073 Sep 24 2015 QuoVadis_Root_CA.pem
-rw-r--r-- 1 root root 1919 Sep 24 2015 QuoVadis_Root_CA_1_G3.pem
-rw-r--r-- 1 root root 2036 Sep 24 2015 QuoVadis_Root_CA_2.pem
-rw-r--r-- 1 root root 1919 Sep 24 2015 QuoVadis_Root_CA_2_G3.pem
-rw-r--r-- 1 root root 2348 Sep 24 2015 QuoVadis_Root_CA_3.pem
-rw-r--r-- 1 root root 1919 Sep 24 2015 QuoVadis_Root_CA_3_G3.pem
-rw-r--r-- 1 root root 1230 Sep 24 2015 RSA_Security_2048_v3.pem
-rw-r--r-- 1 root root 2324 Sep 24 2015 Root_CA_Generalitat_Valenciana.pem
-rw-r--r-- 1 root root 1611 Sep 24 2015
S-TRUST_Authentication_and_Encryption_Root_CA_2005_PN.pem
-rw-r--r-- 1 root root 1392 Sep 24 2015 S-TRUST_Universal_Root_CA.pem
-rw-r--r-- 1 root root 1246 Sep 24 2015 SecureSign_RootCA11.pem
-rw-r--r-- 1 root root 1347 Sep 24 2015 SecureTrust_CA.pem
-rw-r--r-- 1 root root 1351 Sep 24 2015 Secure_Global_CA.pem
-rw-r--r-- 1 root root 1266 Sep 24 2015
Security_Communication_EV_RootCA1.pem
-rw-r--r-- 1 root root 1258 Sep 24 2015 Security_Communication_RootCA2.pem
-rw-r--r-- 1 root root 1222 Sep 24 2015 Security_Communication_Root_CA.pem
-rw-r--r-- 1 root root 1141 Sep 24 2015 Sonera_Class_1_Root_CA.pem
-rw-r--r-- 1 root root 1141 Sep 24 2015 Sonera_Class_2_Root_CA.pem
-rw-r--r-- 1 root root 1943 Sep 24 2015
Staat_der_Nederlanden_EV_Root_CA.pem
-rw-r--r-- 1 root root 1351 Sep 24 2015 Staat_der_Nederlanden_Root_CA.pem
-rw-r--r-- 1 root root 2065 Sep 24 2015
Staat_der_Nederlanden_Root_CA_-_G2.pem
-rw-r--r-- 1 root root 1947 Sep 24 2015
Staat_der_Nederlanden_Root_CA_-_G3.pem
-rw-r--r-- 1 root root 1465 Sep 24 2015 Starfield_Class_2_CA.pem
-rw-r--r-- 1 root root 1396 Sep 24 2015
Starfield_Root_Certificate_Authority_-_G2.pem
-rw-r--r-- 1 root root 1420 Sep 24 2015
Starfield_Services_Root_Certificate_Authority_-_G2.pem
-rw-r--r-- 1 root root 2664 Sep 24 2015
StartCom_Certification_Authority_1.pem
-rw-r--r-- 1 root root 1923 Sep 24 2015
StartCom_Certification_Authority_G2.pem
-rw-r--r-- 1 root root 2040 Sep 24 2015 SwissSign_Gold_CA_-_G2.pem
-rw-r--r-- 1 root root 2052 Sep 24 2015 SwissSign_Platinum_CA_-_G2.pem
-rw-r--r-- 1 root root 2044 Sep 24 2015 SwissSign_Silver_CA_-_G2.pem
-rw-r--r-- 1 root root 2085 Sep 24 2015 Swisscom_Root_CA_1.pem
-rw-r--r-- 1 root root 2085 Sep 24 2015 Swisscom_Root_CA_2.pem
-rw-r--r-- 1 root root 2093 Sep 24 2015 Swisscom_Root_EV_CA_2.pem
-rw-r--r-- 1 root root 1363 Sep 24 2015 T-TeleSec_GlobalRoot_Class_2.pem
-rw-r--r-- 1 root root 1363 Sep 24 2015 T-TeleSec_GlobalRoot_Class_3.pem
-rw-r--r-- 1 root root 1676 Sep 24 2015 TC_TrustCenter_Class_3_CA_II.pem
-rw-r--r-- 1 root root 1404 Sep 24 2015
TC_TrustCenter_Universal_CA_III.pem
-rw-r--r-- 1 root root 1821 Sep 24 2015
TUEBITAK_UEKAE_Koek_Sertifika_Hizmet_Saglayicisi_-_Sueruem_3.pem
-rw-r--r-- 1 root root 1497 Sep 24 2015
TUERKTRUST_Elektronik_Sertifika_Hizmet_Saglayicisi_H5.pem
-rw-r--r-- 1 root root 1497 Sep 24 2015
TUERKTRUST_Elektronik_Sertifika_Hizmet_Saglayicisi_H6.pem
-rw-r--r-- 1 root root 1526 Sep 24 2015
TURKTRUST_Certificate_Services_Provider_Root_2.pem
-rw-r--r-- 1 root root 1526 Sep 24 2015
TURKTRUST_Certificate_Services_Provider_Root_2007.pem
-rw-r--r-- 1 root root 1878 Sep 24 2015 TWCA_Global_Root_CA.pem
-rw-r--r-- 1 root root 1266 Sep 24 2015
TWCA_Root_Certification_Authority.pem
-rw-r--r-- 1 root root 1943 Sep 24 2015 Taiwan_GRCA.pem
-rw-r--r-- 1 root root 1866 Sep 24 2015 TeliaSonera_Root_CA_v1.pem
-rw-r--r-- 1 root root 1238 Sep 24 2015 Trustis_FPS_Root_CA.pem
-rw-r--r-- 1 root root 946 Sep 24 2015
USERTrust_ECC_Certification_Authority.pem
-rw-r--r-- 1 root root 2089 Sep 24 2015
USERTrust_RSA_Certification_Authority.pem
-rw-r--r-- 1 root root 1578 Sep 24 2015
UTN-USER_First-Network_Applications.pem
-rw-r--r-- 1 root root 1570 Sep 24 2015 UTN_DATACorp_SGC_Root_CA.pem
-rw-r--r-- 1 root root 1663 Sep 24 2015 UTN_USERFirst_Email_Root_CA.pem
-rw-r--r-- 1 root root 1603 Sep 24 2015 UTN_USERFirst_Hardware_Root_CA.pem
-rw-r--r-- 1 root root 1582 Sep 24 2015 UTN_USERFirst_Object_Root_CA.pem
-rw-r--r-- 1 root root 1278 Sep 24 2015
VeriSign_Class_3_Public_Primary_Certification_Authority_-_G4.pem
-rw-r--r-- 1 root root 1696 Sep 24 2015
VeriSign_Universal_Root_Certification_Authority.pem
-rw-r--r-- 1 root root 833 Sep 24 2015
Verisign_Class_1_Public_Primary_Certification_Authority.pem
-rw-r--r-- 1 root root 1100 Sep 24 2015
Verisign_Class_1_Public_Primary_Certification_Authority_-_G2.pem
-rw-r--r-- 1 root root 1481 Sep 24 2015
Verisign_Class_1_Public_Primary_Certification_Authority_-_G3.pem
-rw-r--r-- 1 root root 1104 Sep 24 2015
Verisign_Class_2_Public_Primary_Certification_Authority_-_G2.pem
-rw-r--r-- 1 root root 1477 Sep 24 2015
Verisign_Class_2_Public_Primary_Certification_Authority_-_G3.pem
-rw-r--r-- 1 root root 833 Sep 24 2015
Verisign_Class_3_Public_Primary_Certification_Authority.pem
-rw-r--r-- 1 root root 1100 Sep 24 2015
Verisign_Class_3_Public_Primary_Certification_Authority_-_G2.pem
-rw-r--r-- 1 root root 833 Sep 24 2015
Verisign_Class_3_Public_Primary_Certification_Authority_1.pem
-rw-r--r-- 1 root root 1481 Sep 24 2015
Verisign_Class_4_Public_Primary_Certification_Authority_-_G3.pem
-rw-r--r-- 1 root root 1319 Sep 24 2015 Visa_eCommerce_Root.pem
-rw-r--r-- 1 root root 1700 Sep 24 2015
WellsSecure_Public_Root_Certificate_Authority.pem
-rw-r--r-- 1 root root 1951 Sep 24 2015 WoSign.pem
-rw-r--r-- 1 root root 1911 Sep 24 2015 WoSign_China.pem
-rw-r--r-- 1 root root 1509 Sep 24 2015 XRamp_Global_CA_Root.pem
-rw-r--r-- 1 root root 2086 Jan 2 2017 ca.pem
-rw-r--r-- 1 root root 1173 Sep 24 2015 certSIGN_ROOT_CA.pem
-rw-r--r-- 1 root root 2028 Sep 24 2015
ePKI_Root_Certification_Authority.pem
-rw------- 1 root root 1699 Jan 11 2015 mini_httpd.pem
-rw-r--r-- 1 root root 1489 Sep 24 2015 thawte_Primary_Root_CA.pem
-rw-r--r-- 1 root root 938 Sep 24 2015 thawte_Primary_Root_CA_-_G2.pem
-rw-r--r-- 1 root root 1501 Sep 24 2015 thawte_Primary_Root_CA_-_G3.pem
-rw-r--r-- 1 root root 4248 Sep 25 2015 www.pohl-bo.de.pem
server #
>>>> Wofür ist der Ordner /var/certs/ssl/certs/old?
>>>
>>> Wenn die certs-Skripte Zertifikate runterladen, werden dort die alten
>>> Zertifikate dorthin verschoben, bevor sie im Zertifikatsverzeichnis
>>> überschrieben werden.
>>
>> Kann dann doch sicherlich auch von Zeit zu Zeit geleert werden, oder?
>
> Ja, mache ich selbst auch so.
Okay, dann werde ich das auch tun.
>>>> Was gehört in den Ordner /var/certs/ssl/newcerts?
>>>
>>> Dort liegen Dateien der lokalen CA und der lokal erzeugten
>>> Serverzertifikate.
>>
>> Da dürften demnach auch Dateien liegen, die zu meinem alten CA gehören
>> und die ich eigentlich löschen könnte?
>
> Jürgen würde jetzt sagen, dass man nicht mehr benötigte Zertifikate nicht
> löscht sondern widerruft.
Ja, habe ich auch schonmal von ihm irgendwo gelesen.
Ich bin eigentlich eher der, der löscht, was nicht mehr benötigt wird.
Aber da ich mich mit der Zertifikatsgeschichte nicht auskenne, kann ich
nicht beurteilen, was in diesem Fall der bessere Weg ist.
Wie gesagt, eigentlich möchte ich mein altes, selbst erstelltes CA gerne
loswerden.
>>>> Was gehört in den Ordner /var/certs/ssl/private?
>>>
>>> Die geheimen privaten Teile des lokalen CA und lokaler Serverzertifikate.
>>
>> Hier dürfte ich dann wohl auch Reste von meiner alten CA finden können?
>
> Die geheimen/privaten key-Dateien.
Ich nehme jetzt mal an, dass ich dort Datein löschen kann, wenn ich mein
altes, selbst erstelltes CA lösche.
Falls ich es ledigllich irgendwie widerrufe, müssen die dazugehörigen
Dateien bestimmt auch verbleiben?
>>>> Wofür ist der Ordner /var/certs/ssl/web?
>>>
>>> Eine Webseite, damit Anwender sich das Zertifikate deiner CA
>>> herunterladen können; wird in /var/www/htdocs/certs verlinkt.
>>>
>>> Aufruf: http://<serveradresse>/certs
>>
>> Die Seite kann ich aufrufen, aber die CA und die CRL kann ich dort nicht
>> herunterladen, weil die ca.crt und die crl.pem nicht vorhanden sind.
>
> Wenn du die gelöscht hast, sind sie natürlich nicht mehr abrufbar.
Logisch.
>> Die Frage ist, ob die überhaupt da sein sollten, wenn ich kein eigenes
>> CA einsetze, sondern mein Zertifikat von letsencrypt nutze.
>
> Wenn Du keine lokalen Zertifikate erstellen willst, brauchst du auch keine
> CA.
Der Meinung bin ich auch, darum will ich mein altes CA ja auch löschen.
>> Außerdem ist der Ordner durch eine .htaccess passwortgeschützt. Da weiß
>> ich jetzt auch nicht, ob das standardmäßig so sein soll, oder ob ich die
>> Datei da mal selbst angelegt habe.
>
> Bestimmt, denn ein Zugriffsschutz macht da keinen Sinn, denn das
> CA-Zertifikat muss downloadbarsein, wenn jemand das lokale Serverzertifikat
> auf Gültigkeit überprüfen will, z. B. wenn du im lokalen Netz auf den
> Clients mit Thunderbird verschlüsselt auf den Server zugreifen willst.
Das klingt auch sehr logisch.
> Wenn du nun aber ein Letsencrypt-Zertifikat benutzt, kann TB das über die
> standardmäßig installierten Root/Zwischen-Zertifikate tun.
Ebenso logisch.
Grüße,
Sascha
Mehr Informationen über die Mailingliste Eisfair