[Eisfair] Zertifikate und alles was damit zusammenhängt aufräumen

Sascha Pohl sascha at pohl-bo.de
Mi Okt 25 22:35:28 CEST 2017 

Hallo Marcus,

Am 25.10.2017 um 09:54 schrieb Marcus Roeckrath:

> Sinnvoller als ein eigenes Zertifikat für jeden Serverdienst vorzuhalten,
> ist es, diese Zertifikatsnamen auf das generelle Serverzertifikat zu
> verlinken.
> 
> Mach mal ein
> 
> ls -la /var/certs/ssl/certs/apache.pem
> 
> (etc. für die anderen Namen)
> 
> damit wir sehen, ob das Links oder "echte" Zertifikate sind.

Das sind bei mir bereits alles Links auf das generelle Serverzertifikat.

server # ls -la /usr/local/ssl/certs/*.pem
-rw-r--r-- 1 root root  2106 Jan 21  2016
/usr/local/ssl/certs/1_root_bundle.pem
-rw-r--r-- 1 root root  1197 Sep 27 00:41
/usr/local/ssl/certs/DST_Root_CA_X3.pem
-rw-r--r-- 1 root root  1315 Sep 27 00:41
/usr/local/ssl/certs/Deutsche_Telekom_Root_CA_2.pem
-rw-r--r-- 1 root root  1258 Sep 27 00:41
/usr/local/ssl/certs/GlobalSign_Root_CA.pem
-rw-r--r-- 1 root root  1674 Aug 13  2016
/usr/local/ssl/certs/LetsEncryptAuthorityX3.pem
-rw-r--r-- 1 root root  3353 Sep 27 00:41
/usr/local/ssl/certs/PSCProcert.pem
-rw-r--r-- 1 root root  2664 Sep 27 00:41
/usr/local/ssl/certs/StartCom_Certification_Authority_1.pem
-rw-r--r-- 1 root root  2350 Apr  6  2014
/usr/local/ssl/certs/TeleSec_ServerPass_DE-1.pem
-rw-r--r-- 1 root root  2374 Jan 21  2016
/usr/local/ssl/certs/TeleSec_ServerPass_DE-2.pem
-rw-r--r-- 1 root root  1728 Sep 27 00:41
/usr/local/ssl/certs/VeriSign_Class_3_Public_Primary_Certification_Authority_-_G5.pem
-rw-r--r-- 1 root root  2213 Apr 24  2014
/usr/local/ssl/certs/a1ace4046b6e332232b87ecfb6f37a0763720147.pem
-rw-r--r-- 1 root root  5104 Oct 22 01:00
/usr/local/ssl/certs/alphassl_ca_-_sha256_-_g2.pem
lrwxrwxrwx 1 root root    35 Sep  5 22:46
/usr/local/ssl/certs/apache.pem -> /usr/local/ssl/certs/pohl-bo.de.pem
-rw-r--r-- 1 root root  2569 Jan  7  2008
/usr/local/ssl/certs/cacert-class-1-root.pem
-rw-r--r-- 1 root root  2151 Jan  7  2008
/usr/local/ssl/certs/cacert-class-3-root.pem
lrwxrwxrwx 1 root root    35 Sep  5 22:46 /usr/local/ssl/certs/exim.pem
-> /usr/local/ssl/certs/pohl-bo.de.pem
-rw------- 1 root root  1679 Dec 26  2016
/usr/local/ssl/certs/fake_le_intermediate_x1.pem
lrwxrwxrwx 1 root root    35 Sep  5 22:46 /usr/local/ssl/certs/imapd.pem
-> /usr/local/ssl/certs/pohl-bo.de.pem
lrwxrwxrwx 1 root root    35 Sep  5 22:46
/usr/local/ssl/certs/ipop3d.pem -> /usr/local/ssl/certs/pohl-bo.de.pem
lrwxrwxrwx 1 root root    35 Sep  5 22:46
/usr/local/ssl/certs/mini_httpd.pem -> /usr/local/ssl/certs/pohl-bo.de.pem
-rw-r--r-- 1 root root  5661 Sep  5 22:46
/usr/local/ssl/certs/pohl-bo.de.pem
lrwxrwxrwx 1 root root    35 Sep  5 22:46
/usr/local/ssl/certs/pure-ftpd.pem -> /usr/local/ssl/certs/pohl-bo.de.pem
-rw-r--r-- 1 root root  2784 Jan  3  2017
/usr/local/ssl/certs/securepop.t-online.de.pem
-rw-r--r-- 1 root root 11843 Oct 22 01:00
/usr/local/ssl/certs/selfhost.de.pem
lrwxrwxrwx 1 root root    35 Dec 27  2016
/usr/local/ssl/certs/server.pohl-bo.de.pem ->
/usr/local/ssl/certs/pohl-bo.de.pem
lrwxrwxrwx 1 root root    35 Sep  5 22:46 /usr/local/ssl/certs/slapd.pem
-> /usr/local/ssl/certs/pohl-bo.de.pem
-rw-r--r-- 1 root root  2195 Nov  7  2013 /usr/local/ssl/certs/vnetwork.pem
server #

> Das Verlinken dieser Dienstzertifikate könnte dir das certs-dehydrated-Paket
> abnehmen, da ich das aber selbst nicht einsetze, kann ich das nicht mit
> Bestimmtheit sagen.

Das brauche ich demnach im Moment ja nicht.

> Das certs-Paket enthält die Möglichkeit die Dienstzertifikate auf ein lokal
> erzeugtes Server-Zertifikat zu verlinken, daher vermute ich, dass dies auch
> mit dem dehydrated-Paket geht. Aber dazu kann Jürgen als Paketmaintainer
> mehr sagen.
> 
> Möglicherweise musst du die eigenständigen Zertifikate apache.pem und Co
> zunächst löschen, damit die Verlinkungen angelegt werden können.

Siehe oben.

>> Desweiteren für den Mailversand über einen Smarthost und für den
>> Mailempfang durch fetchmail von einigen Mailkonten.
> 
> Die Zertifikate solltest du stehenlassen. Du erkennst sie an Dateinamen wie
> 
> mail.gmx.net.pem
> pop.gmx.net.pem

Das habe ich verstanden.

>> Am liebsten würde ich den ganzen Ordner /usr/local/ssl/certs mitsamt den
>> ganzen Unterordnern löschen und nur die Sachen wieder besorgen, die
>> benötigt werden.
> 
> Besser nicht.
> 
> Das Certs-Paket hat den Menupunkt
> 
> Identify unrequired certificates
> 
> welches schon vieles unützes Zertifikatszeugs wegräumt.
> 
> Danach dann auch mal die CRL bereinigen:
> 
> https://web.nettworks.org/wiki/display/e/CRLs+bereinige

Das habe ich jetzt auch nochmal durchgeführt, hatte ich aber vor einiger
Zeit auch schonmal getan.

Ich würde aber gerne auch noch das uralte, damals von mir erstellte CA
loswerden. Zumindest, wenn der LDAP-Server dann trotzdem noch läuft.
Außerdem finde ich den Inhalt einiger Unterordner noch sehr merkwürdig:
Wofür ist der Ordner /var/certs/ssl/certs/archive?
Wofür ist der Ordner /var/certs/ssl/certs/old?
Was gehört in den Ordner /var/certs/ssl/newcerts?
Was gehört in den Ordner /var/certs/ssl/private?
Wofür ist der Ordner /var/certs/ssl/web?

So viele Fragen...


Grüße,
Sascha

Mehr Informationen über die Mailingliste Eisfair