[Eisfair] [e64] neues Root-CA

[Juergen Edner]

Hallo Detlef,

> Sinnvoll fände ich es jetzt, auf Eisfair kein extra Root-CA zu haben.

kein Problem.

> Im Grunde müsste ich doch mit "create certificate request" auf Eisfair64
> einen Zertifikatsantrag (ist glaube ich eine *.csr Datei) stellen, und
> diesen dann mit dem Root-CA bearbeiten welches bestehen bleiben soll.?
>
> Unter /etc/ssl/csr/ liegt auch noch eine eisfair64.home.lan.csr von der
> ich annehme, dass ich die gleich benutzen könnte.?

Wenn der FQDN Deines Servers so lautet, könntest Du in der Tat diese
csr.Datei verwenden. Die zentrale Zertifikatsable sollte sich im
Verzeichnis /usr/local/ssl befinden und /etc/ssl sollte ein symbolischer
Link sein der auf das zuvor genannte Verzeichnis verweisßt.

> Aber wie bekomme ich das Zertifikat dann in Eisfair64 wieder rein? Und
> es liegen unter /etc/ssl/csr/ auch noch etliche andere
> eisfair64.home.lan.* Dateien, *.der, *.pem, *.crt, *.key was mache ich
> mit denen?

Zu einer csr-Datei gehört auch immer eine key-Datei welche Du
logischerweise behalten solltest. Die anderen Dateien kannst
Du erst einmal in ein separates Verzeichnis verschieben.
Da Du den eisfair-Server NICHT als CAp-Root verwenden willst,
solltests Du darüber hinaus unbedingt CERTS_CA_HOME=no setzen,
damit die Funktionen zum Signieren von Zertfikaten deaktiviert
werden.

> Ich müsste doch auch das Root-CA auf Eisfair64 irgendwie entfernen, da
> finde ich gerade gar nichts.

/usr/local/ssl/certs/ca.pem usw. ;-)

Gruß Jürgen
-- 
Mail: juergen at eisfair.org