Verständnisfragen zu Certifikaten

[Peter Schauder]

On Sat, 13 Feb 2016 16:19:23 +0100, Juergen Edner
<juergen at eisfair.org> wrote:
Hi Jürgen,

vielen Dank für die ausführliche Antwort.

Gruß
Peter

>Hallo Peter,
>
>> ich bekomme mit "TLS certificates warning" einige Zertifikate als
>> abgelaufen angezeigt. Allerdings kann ich keine Auswirkungen
>> feststellen. Alles läuft, wie es soll.
>> 
>> Drei der Zertifikate sind "eigene": exim.pem, ipop3d.pem und
>> imapd.pem. Sehe ich das richtig, dass ich sie nur brauchen würde,
>> wenn ich den Transport zwischen Emailclient und Server im Internen
>> Netz verschlüsseln würde?
>
>in der Tat werden diese Zertifikate für den E-Mail Abruf und Versandt
>genutzt. Üblicherweise sollten symbolische Links existieren, die dann
>auf das Basiszertifikat verweisen.
>D.h. wenn Dein Server z.B. "deinserver.local.lan" heißt, sollten die
>drei genannten Zertifikate symbolische Links auf dieses Zertifikat
>darstellen.
>
>> Und unabhängig davon, ob ich sie aktuell brauche: Wie kann ich die
>> Certifikate am einfachsten neu erstellen bzw updaten?
>
>Öffne die ursprünglich für die Erstellung der Zertifikate genutzten
>Signaturanforderung (CSR - Certificate signing request) und erstelle
>damit ein neues Zertifikat. Dies ist aber nur sinnvoll, wenn das
>ursprüngliche Zertifikat bereits mit einem SHA384 oder besserem Hash
>erstellt wurde. Sonst empfiehlt sich das Erstellen eines neuen Zertifikats.
>Wie dies funktioniert kannst Du detailliert in der Dokumentation des
>certs-Paketes nachlesen.
>
>> So ich denn die "show cert-details" richtig verstehe, ist es
>> eigendlich ein Certificate (imapd) und exim und ipop3d sind nur per
>> Symlink damit verbunden.
>
>Ich empfehle das Basiszertifikat, wie in der Dokumentation beschrieben,
>nach dem FQDN zu benennen und darauf dann die symbolischen Links
>verweisen zu lassen.
>
>> Dann gibt es noch einige Zertifikate in der Warning Liste in der Form:
>> Certificate  : /usr/local/ssl/certs/b42ff584.pem
>>   Subject    : /C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden
>> Root CA
>>   Valid from : Dec 17 09:23:49 2002 GMT
>>   Valid until: Dec 16 09:15:38 2015 GMT
>> 
>> Scheinbar habt mein System für diese keine Verwendung. Vermutlich sind
>> die mal mit dem CA certification Bundle auf das System gekommen.
>> 
>> Wenn ich die löschen möcht, wie gehe ich da am besten vor? Oder macht
>> das keinen Sinn, die zu entfernen?
>
>Gehe ins Verzeichnis /usr/local/ssl/certs und lösche die Dateien wenn
>sie nicht mehr gebraucht werden. Anschließend solltest Du dann noch die
>Hashes aktualisieren: /usr/bin/ssl/c_rehast /usr/local/ssl/certs
>
>Gruß Jürgen