[Eisfair] Weg von eisfair1 mit eigener (selfsigned) CA auf Unternehmens CA?

Juergen Edner juergen at eisfair.org
Mi Mai 13 19:00:29 CEST 2015 

Hallo Matthias,

> ich habe einen eisfair mit selfsigned CA usw., der meine emails abholt
> und bereitstellt. Nun möchte ich diese CA "loswerden" und den eisfair in
> die CA Struktur (auch eigene CA) aufnehmen.
> Eigentlich muesste ich doch nur das cert Paket auf dem eisfair RESTLOS
> deinstallieren und dann z.B. ein Zertifikat von der UnternehmensCA für
> den eisfair austellen?
> Das Zertifikat kopiere ich dann wohin?

das certs-Paket würde ich auf dem Server belassen, da es als Basis
für die Verzeichnisstruktur für die Zertifikate dient und diverse
Funktionen mitbringt, die zur Prüfung von Zertifikaten etc. benötigt werden.
Um ein "offizielles" Zertifikat an Stelle des selbst erstellten zu
installieren musst Du folgende Dinge beachten:

1. In /usr/local/ssl/certs wird die Zertifikatsdatei im pem-Format
   abgelegt, welche Du dort am besten nach dem Schema <Name-Deiner-
   Domain>.pem benennst. Diese Datei muss neben dem eigentlichen
   Serverzertifikat auch den Serverschlüssel und einen Diffie-
   Hellman-Block enthalten. Den Diffie-Hellman-Block kannst Du z.B.
   über das certs-Menü erstellen. Sie wird dann im Verzeichnis
   /usr/local/ssl/newcerts erzeugt.
   Folgende Blöcke müssen in der Datei enthalten sein:
   -----BEGIN RSA PRIVATE KEY-----
   ...
   -----END RSA PRIVATE KEY-----
   -----BEGIN DH PARAMETERS-----
   ...
   -----END DH PARAMETERS-----
   -----BEGIN CERTIFICATE-----
   ...
   -----END CERTIFICATE-----

2. Die Schlüsseldatei wird üblicherweise zusätzlich auch noch im
   Verzeichnis /usr/local/ssl/private abgelegt und ebenfalls nach
   dem Schema <Name-Deiner-Domain>.key benannt.

3. Dann erzeugst Du die von den Programmen benötigten symbolischen
   Links im Verzeichnis /usr/local/ssl/certs die auf die neue
   Zertifikatsdatei verweisen. Dies erledigst Du am besten ebenfalls
   über das certs-Menü:

   apache.pem     -> <Name-Deiner-Domain>.pem
   imapd.pem      -> <Name-Deiner-Domain>.pem
   mini_httpd.pem -> <Name-Deiner-Domain>.pem
   etc.

4. Abschließend erzeugst Du noch den Hash für Dein Zertifikat über
   das certs-Menü oder durch Aufruf von "/usr/bin/ssl/c_rehash
   /usr/local/ssl/certs"

Gruß Jürgen
-- 
Mail: juergen at eisfair.org

Mehr Informationen über die Mailingliste Eisfair