[Eisfair] Probleme mit apache und den Zertifikaten

Marcus Roeckrath marcus.roeckrath at gmx.de
Do Sep 21 17:23:42 CEST 2017


Hallo Stefan,

Stefan Puschek wrote:

> ich wundere mich die ganze Zeit schon über die Namen der Dateien; die
> hiessen alle irgendwie mit exim/mail/imap im Namen;
> 
> Show cert-details
> 
>   Nbr  Certificate Name(s) (.pem)         (-> Symbolic Link to..) (.pem)
> 
>     1  DST_Root_CA_X3
>     2  LetsEncryptAuthorityX3
>     3  PSCProcert
>     4  Thawte_Premium_Server_CA
>     5  VeriSign_Class_..._Authority_-_G5
>     6  Verisign_Class_...ion_Authority_1
>     7  apache                              -> barbrady.southpark.lan
> 
>     8  barbrady.southpark.lan
>     9  ca
>    10  cacert-class-1-root
>    11  cacert-class-3-root
>    12  deutsche_telekom_root_ca_2
>    13  exim                                -> imapd
> 
>    14  imapd
>    15  ipop3d                              -> imapd
> 
>    16  mail.gmx.net
>    17  pop.gmx.de
> 
> Please select (1-17 [30], ENTER=Return, 0=Exit)?
> 
> exim, imapd, ipop3d brauche ich zum mailen - ist mir klar.
> 
> aber warum habe ich apache und barbrady.southpark.lan, wenn der apache
> garkein https macht?

Hast Du halt irgendwann mal angelegt.

Allerdings ist das auf Deinem System nicht ganz konsequent durchgezogen.

Üblicherweise legt man ein Serverzertifikat an und verlinkt dann alle
anderen (apache, exim, imapd, ...) auf dieses Serverzertifikat und legt
nicht mehrere verschiedene Zertifikate für den eigenen Server an.

Siehe hier auf meinem System:

lrwxrwxrwx 1 root   root       43 Jul 29 21:42 apache.pem
-> /usr/local/ssl/certs/eis.senden.germany.pem

-rw-r--r-- 1 root   root     3582 Mar 28  2015 eis.senden.germany.pem

lrwxrwxrwx 1 root   root       43 Jul 29 21:42 exim.pem 
-> /usr/local/ssl/certs/eis.senden.germany.pem

lrwxrwxrwx 1 root   root       43 Jul 29 21:42 imapd.pem 
-> /usr/local/ssl/certs/eis.senden.germany.pem

lrwxrwxrwx 1 root   root       43 Jul 29 21:42 ipop3d.pem 
-> /usr/local/ssl/certs/eis.senden.germany.pem

lrwxrwxrwx 1 root   root       43 Jul 29 21:42 pure-ftpd.pem
-> /usr/local/ssl/certs/eis.senden.germany.pem

> liegt hier eventuell der Fehler?

IMHO nein.

> wie entferne ich korrekterweise die beiden pem-Dateien und ihre Hashes?

Jürgen würde jetzt sagen, nicht löschen sondern revoken.

Ansonsten das Zertifikat löschen, dann erscheinen in /var/certs/ssl/certs
tote Links, die du im mc durch das ! in der ersten Spalte erkennst.

Oder  nach Löschen der Zertifikate einfach die Hashes neu erzeugen lassen:

/var/install/bin/certs-update-hashes

und im Menu 1 wählen.

> Danach müsste doch Ruhe sein - oder irre ich?

IMHO behebt das das Problem nicht, denn das CRL der eigenen CA ist damit
immer noch nicht erreichbar.

-- 
Gruss Marcus


Mehr Informationen über die Mailingliste Eisfair