[Eisfair] certs 1.4.6 ca.pam ändern

[Juergen Edner]

Hallo Detlef,

> Kann ich das ca-Zertifikat nun einfach mit den berichtigten Angaben
> ab Punkt 4 der Doku neu erstellen oder gibt es da Probleme?

generell solltest Du hingehen und erst einmal alle Dateien unter
/usr/local/ssl, die auf ca.* (Zertifikate, Schlüssel, etc.) lauten
sichern.
Ich habe dies z.B. so gemacht, dass ich die Dateien meiner "alten"
CA nach dem Namensmuster
"ca-<dein-name>-certificate-authority-<sha-typ>-<datum-yyyymmdd>.pem"
etc. benannt habe. Hintergrund
hierfür ist, dass Du dieses CA-Zertifikat noch so lange benötigst
wie Du Zertifikate verwendest die damit ausgestellt wurden.
Anschließend solltest Du eine neue CA erstellen können. Ich habe
auch diese Dateien im Anschluss entsprechend dem obigen Namensmuster
benannt und dann mittels symbolischer Links darauf verwiesen, sodass
die Namen 'ca.pem', 'ca.key' etc. wieder belegt sind. Auf diese
Weise lassen sich die Dateien besser auseinander halten.

> --warn The CA certificate MUST normally NOT be replaced!
> 
> Remove previously generated files (.crt, .pem, .p12),
> proceed anyway (y/n) [n]?
> 
> habe ich mich noch nicht weiter getraut.

Gut, dann hat die Meldung ihren Zweck erfüllt :-)

> Selbst signierte Zertifikate habe ich nur imapd.pem gefunden bei dem
> ca.pem in der chain ist. Muss dieses Zertifikat dann auch erneuert
> werden wenn ca.pem geändert wird?

Nicht wenn Du es vorher unter einem anderen Namen sicherst und sicher
stellst, dass die Hashes nachher wieder aktuell sind ;-)

Gruß Jürgen
-- 
Mail: juergen at eisfair.org