[Eisfair] Zertifikate und alles was damit zusammenhängt aufräumen
Sascha Pohl
sascha at pohl-bo.de
Do Okt 26 00:07:01 CEST 2017
Hallo Marcus,
Am 25.10.2017 um 22:57 schrieb Marcus Roeckrath:
> Das ist gut so; ist pohl-bo.de.pem das letsencrypt-Zertifkat.
Ja, das ist es.
>
>> Ich würde aber gerne auch noch das uralte, damals von mir erstellte CA
>> loswerden. Zumindest, wenn der LDAP-Server dann trotzdem noch läuft.
>> Außerdem finde ich den Inhalt einiger Unterordner noch sehr merkwürdig:
>> Wofür ist der Ordner /var/certs/ssl/certs/archive?
>
> Ist bei mir leer.
>
> @Jürgen: Was landet darin?
Vermutlich kann ich den auch leeren, aber ich warte erstmal noch, was
Jürgen dazu sagt.
>> Wofür ist der Ordner /var/certs/ssl/certs/old?
>
> Wenn die certs-Skripte Zertifikate runterladen, werden dort die alten
> Zertifikate dorthin verschoben, bevor sie im Zertifikatsverzeichnis
> überschrieben werden.
Kann dann doch sicherlich auch von Zeit zu Zeit geleert werden, oder?
>> Was gehört in den Ordner /var/certs/ssl/newcerts?
>
> Dort liegen Dateien der lokalen CA und der lokal erzeugten
> Serverzertifikate.
Da dürften demnach auch Dateien liegen, die zu meinem alten CA gehören
und die ich eigentlich löschen könnte?
>> Was gehört in den Ordner /var/certs/ssl/private?
>
> Die geheimen privaten Teile des lokalen CA und lokaler Serverzertifikate.
Hier dürfte ich dann wohl auch Reste von meiner alten CA finden können?
>> Wofür ist der Ordner /var/certs/ssl/web?
>
> Eine Webseite, damit Anwender sich das Zertifikate deiner CA herunterladen
> können; wird in /var/www/htdocs/certs verlinkt.
>
> Aufruf: http://<serveradresse>/certs
Die Seite kann ich aufrufen, aber die CA und die CRL kann ich dort nicht
herunterladen, weil die ca.crt und die crl.pem nicht vorhanden sind.
Die Frage ist, ob die überhaupt da sein sollten, wenn ich kein eigenes
CA einsetze, sondern mein Zertifikat von letsencrypt nutze.
Außerdem ist der Ordner durch eine .htaccess passwortgeschützt. Da weiß
ich jetzt auch nicht, ob das standardmäßig so sein soll, oder ob ich die
Datei da mal selbst angelegt habe.
>> So viele Fragen...
>
> Klarer.
Langsam wird es besser.
Grüße,
Sascha
Mehr Informationen über die Mailingliste Eisfair