[Eisfair_dev] mail v1.12.2 stable für eisfair-1

Stefan Welte post at stefan-welte.de
Di Jan 24 10:04:11 CET 2017


Hallo Jürgen,

Am 07.11.2016 um 18:14 schrieb Juergen Edner:
> ich habe gerade einmal im mail-Paket nachgeschaut und tatsächlich
> seinerzeit einmal eine einfache Funktion für das Setzen eigener
> Kennwörter implementiert.
> Wenn ein Anwender in seinem Home-Verzeichnis eine Datei .mailpasswd
> anlegt in dessen ersten Zeile ein neues Kennwort steht, dann ein
> Administrator durch Aufruf des folgenden Befehls die Kennwortdatei
> aktualisieren lassen:
> 
> /var/install/config.d/mail.sh --updatemailpw
> 
> Es gilt zu beachten, dass bei Verwendung dieser Funktion die mail-
> Konfigurationsdatei NICHT aktualisiert wird!

ok, inzwischen wäre mir die zentrale Nutzerverwaltung lieber, sonst blicke ich da früher oder später nicht
mehr durch. Also Authentifizierung (Linux-System, Samba, Mail, Owncloud,...) zentral. Das ist nur mit LDAP
zu haben, oder?


>> Da inzwischen mein altes cacert.org-Zertifikat abgelaufen ist und ich ein neues/erneuertes brauche, jedoch
>> bei einer passenden Anleitung nur minimal (certs-Doku nix, [1] alt, 2014 verwendet) fündig wurde, hier meine
>> Situation, damit ich nicht unbrauchbare Zertifikate erstelle, die ich revoken oder löschen oder so ähnlich
>> müsste:
> 
> Ich verstehe nicht was "certs-Doku nix" genau heißen soll, jedoch gibt
> es in der certs-Dokumentation einen Absatz namens "Ein Zertifikat
> aktualisieren" welcher genau auf dieses Thema eingeht.
ja, dieser Abschnitt bezieht sich stark auf interne CA, nicht auf cacert.org oder habe ich das übersehen?
Z.B. "2.4 Nach diesen Vorbereitungen muss nun der vom Vorjahr bereits existierende Zertifikatsanforderung
mit dem CA-Schlüssel signiert werden." Den CA-Schlüssel habe ich doch garnicht auf meinem Server, der liegt
doch nur bei cacert.org rum, oder irre ich.

>> zusätzlich zu www.abc.goip.de, imap.abc.goip.de, smtp.abc.goip.de ins Zertifikat mit aufnehmen (Common Name)
>> möglich?
> 
> Auch auf diesen Punkt geht die certs-Dokumentation unter dem Absatz
> "Erstellen eines Serverzertifikates (CERT)" ein. Dort wird beschrieben
> wie man bei Bedarf mittels der Prefixe "DNS:" und/oder "IP:" ein
> Zertifikat für mehrere Domainnamen bzw. IP-Adressen erstellen kann.
ok, das heisst Zertifikaterneuerung geht hierbei garnicht?


Ich habe jetzt im cacert.org-Menu auf erneuern geklickt, das hat geklappt (wobei jetzt keine neuen
DNS-Einträge drin sind vermute ich) und mir wird ein "BEGIN CERTIFICATE ... END CERTIFICATE"-Block ausgegeben.

Wo muss der nun hin?
apache.pem?
Falls ja, da sind zuerst "-----BEGIN RSA PRIVATE KEY----- ... -----END RSA PRIVATE KEY-----" und "-----BEGIN
DH PARAMETERS----- ... -----BEGIN DH PARAMETERS-----" -Blöcke drin. Diese unangetastet lassen und nur den
dritten Block ersetzen?

Danke,
Stefan



Mehr Informationen über die Mailingliste Eisfair_dev