[Eisfair] [E1] Eisfair und Let's Encrypt

Olaf Jaehrling eisfair at ojaehrling.de
Di Aug 30 13:53:19 CEST 2016


Hallo Jürgen,


Juergen Edner schrieb am 30.08.2016 um 08:38:

> 
> generell werden Serverzertifikate auf eisfair in einer Datei gepflegt.

Genau das hatte ich schonmal versucht.

> Aus diesem Grund sollten möglichst beide Programmteile in eine Datei
> zusammen kopiert werden. Außerdem sollte möglichst sicher gestellt
> werden, dass auch Diffie-Hellman-Parameter dazu kopiert werden damit
> Perfect Forward Secrecy unterstützt wird.
> 
> Hier noch einmal zusammengefasst die Blöcke die in einer korrekten
> Zertifikatsdatei enthalten sein sollten:
> 
> -----BEGIN RSA PRIVATE KEY-----
> ...
> -----END RSA PRIVATE KEY-----
Gibt es in abgeänderter Form in der privkey.pem
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----

> -----BEGIN DH PARAMETERS-----
> ...
> -----END DH PARAMETERS-----

Gibt es nicht und ich habe auch (noch ) nicht gefunden, wo ich die her
bekomme.

> -----BEGIN CERTIFICATE-----
> ...
> -----END CERTIFICATE-----

Die gibt es in der chain.pem, fullchain.pem und cert.pem wobei
fullchain.pem aus der chain.pem und cert.pem besteht.

Um das also korrekt eisfair-konform hinzubekommen ist der DH-Anteil
vonnöten. Da weis ich aber nicht, wo ich den herbekomme. Vllt. weis das
ja schon wer anderes.

Das könnte auch das Problem sein, warum ich dieses Zertifikat irgendwie
nicht mit start-tls im mailpaket zum Laufen bekomme. Deshalb nutze ich
da noch cacerts.

Danke und Gruß

Olaf


> 
> Gruß Jürgen
> 


Mehr Informationen über die Mailingliste Eisfair