[Eisfair] Zertifikate und alles was damit zusammenhängt aufräumen

Sascha Pohl sascha at pohl-bo.de
Do Okt 26 02:27:11 CEST 2017 

Hallo Marcus,

Am 26.10.2017 um 01:28 schrieb Marcus Roeckrath:

>>>>>> Wofür ist der Ordner /var/certs/ssl/certs/archive?
> 
> Ich vermute nach Durchsicht der Skripte, dass dort die Zertifikate
> archiviert werden, die die Funktion "Find unrequired certificates" als
> verzichtbar eingestuft hat, um sie bei einer "Falschklassifizierung" wieder
> hervorholen zu können.
> 
> Wenn sie dort liegen, haben sie sowieso derzeit keine Funktion und wenn es
> keine Zertifikatsprobleme z. B. mit den Mailproviderzertifikaten gibt,
> kannst Du das aufräumen.

Den Ordner habe ich jetzt mal geleert.

>> server # ls -la /var/certs/ssl/certs/archive
> 
> Bei der Menge vermute ich, dass du auch mal die Zertifikats-Bundles
> installiert hast; auch mal das Mozilla-Zertifikatsbundle.

Ja, das hatte ich mal installiert.

> Letzteres erkennst Du auch daran, dass es unter /var/certs/ssl die Dateien
> 
> mozillabundle.txt und ggfls. mozillabundle.txt.old
> 
> gibt, die auch weg können.

Habe ich jetzt alles gelöscht.

>>>>>> Was gehört in den Ordner /var/certs/ssl/newcerts?
>>>>>
> IMHO kann man ein CA-Zertifikat nicht widerrufen, jedenfalls finde ich da im
> Menu nichts, sondern nur die mit diesem CA signierten Serverzertifikate.

Das war auch meine Erkenntnis.
Die signierten Zertifikate hatte ich ja schon nicht mehr, das CA habe
ich jetzt gelöscht.

>> Wie gesagt, eigentlich möchte ich mein altes, selbst erstelltes CA gerne
>> loswerden.

Jetzt bin ich es los, aber ohne funktioniert der LDAP-Server nicht mehr.
Damit kann ich aber eine zeitlang leben und an der Lösung arbeite ich ja
bereits mit Jürgen in meinem vorherigen Thread.

>>>>>> Was gehört in den Ordner /var/certs/ssl/private?
>>>>>
>>>>> Die geheimen privaten Teile des lokalen CA und lokaler
>>>>> Serverzertifikate.
>>>>
>>>> Hier dürfte ich dann wohl auch Reste von meiner alten CA finden können?
>>>
>>> Die geheimen/privaten key-Dateien.
>>
>> Ich nehme jetzt mal an, dass ich dort Datein löschen kann, wenn ich mein
>> altes, selbst erstelltes CA lösche.

Hier habe ich jetzt mal die Dateien und Links gelöscht, die meiner
Meinung nach nicht zu meinem letsencrypt-Zertifikat gehören dürften.
Vorsichtshalber habe ich anschließend von certs-dehydrated mein
letsencrypt-Zertifikat erneuern lassen.
Unter /usr/local/ssl/certs/old hat certs-dehydrated eine .pem-Datei
archiviert.
Die ganzen Links für mein Zertifikat für die verschiedenen Dienste unter
/usr/local/ssl/certs wurden dabei auch erneuert.

Außer dem LDAP-Server funktioniert auch alles wieder.

> Du hast ja schon Teile der Dateien deiner CA gelöscht, also kannst du das
> Werk jetzt auch getrost zu Ende bringen.

Das habe ich jetzt geschafft.
Danke dir dafür!


Grüße,
Sascha

Mehr Informationen über die Mailingliste Eisfair