[Eisfair] Certs: eigene ca beenden?

[Marcus Roeckrath]

Hallo Rolf,

Rolf Bensch wrote:

> da ich heute eine Reparatur der Zertifikate durchführen musste, stellt
> sich mir die Frage, wozu benötige ich noch eine eigene ca wenn
> dehydrated/letsencrypt i.V.m. bind gut läuft? Kann das jemand begründen?

Nein, denn das Certs-Paket hat nicht nur mit der lokalen CA zu tun.

Die lokale CA brauchst du natürlich nur, wenn du loakle Serverzertifikate
erstellenn willst. Es tut aber auch nicht weh, wenn du trotz Nutzung von
letsencrapt die CA einfach stehen läßt.

> Was müsste ich anstellen damit die eigene ca deaktiviert ist und
> dehydrated weiter läuft? Meine Idee: Certs-Paket -> START_CERTS = no und
> dann das dehydrated-Paket einfach weiter laufen lassen. Wäre das so ok?

Nein das ist nicht zielführend, da du ja z. B. Zwischen- und Rootzertifikate
zur Verifizierung der Serverzertifikate deines Mailproviders brauchst; für
die sollten dann in der Regel auch die CRLs vorliegen, ...

All das regelt das Certs-Paket.

-- 
Gruss Marcus