[Eisfair] Zertifikate und alles was damit zusammenhängt aufräumen

Marcus Roeckrath marcus.roeckrath at gmx.de
Do Okt 26 01:28:30 CEST 2017 

Hallo Sascha,

Sascha Pohl wrote:

>>>>> Wofür ist der Ordner /var/certs/ssl/certs/archive?
>>>>
>>>> Ist bei mir leer.
>>>>
>>>> @Jürgen: Was landet darin?
>>>
>>> Vermutlich kann ich den auch leeren, aber ich warte erstmal noch, was
>>> Jürgen dazu sagt.

Ich vermute nach Durchsicht der Skripte, dass dort die Zertifikate
archiviert werden, die die Funktion "Find unrequired certificates" als
verzichtbar eingestuft hat, um sie bei einer "Falschklassifizierung" wieder
hervorholen zu können.

Wenn sie dort liegen, haben sie sowieso derzeit keine Funktion und wenn es
keine Zertifikatsprobleme z. B. mit den Mailproviderzertifikaten gibt,
kannst Du das aufräumen.
 
> server # ls -la /var/certs/ssl/certs/archive

Bei der Menge vermute ich, dass du auch mal die Zertifikats-Bundles
installiert hast; auch mal das Mozilla-Zertifikatsbundle.

Letzteres erkennst Du auch daran, dass es unter /var/certs/ssl die Dateien

mozillabundle.txt und ggfls. mozillabundle.txt.old

gibt, die auch weg können.

>>>>> Was gehört in den Ordner /var/certs/ssl/newcerts?
>>>>
>>>> Dort liegen Dateien der lokalen CA und der lokal erzeugten
>>>> Serverzertifikate.
>>>
>>> Da dürften demnach auch Dateien liegen, die zu meinem alten CA gehören
>>> und die ich eigentlich löschen könnte?
>> 
>> Jürgen würde jetzt sagen, dass man nicht mehr benötigte Zertifikate nicht
>> löscht sondern widerruft.
> 
> Ja, habe ich auch schonmal von ihm irgendwo gelesen.

IMHO kann man ein CA-Zertifikat nicht widerrufen, jedenfalls finde ich da im
Menu nichts, sondern nur die mit diesem CA signierten Serverzertifikate.

> Ich bin eigentlich eher der, der löscht, was nicht mehr benötigt wird.

Jürgen wird dich deshalb nicht umbringen. ;-)

> Wie gesagt, eigentlich möchte ich mein altes, selbst erstelltes CA gerne
> loswerden.
> 
>>>>> Was gehört in den Ordner /var/certs/ssl/private?
>>>>
>>>> Die geheimen privaten Teile des lokalen CA und lokaler
>>>> Serverzertifikate.
>>>
>>> Hier dürfte ich dann wohl auch Reste von meiner alten CA finden können?
>> 
>> Die geheimen/privaten key-Dateien.
> 
> Ich nehme jetzt mal an, dass ich dort Datein löschen kann, wenn ich mein
> altes, selbst erstelltes CA lösche.

Du hast ja schon Teile der Dateien deiner CA gelöscht, also kannst du das
Werk jetzt auch getrost zu Ende bringen.

-- 
Gruss Marcus

Mehr Informationen über die Mailingliste Eisfair