[Eisfair] mail 1.17.2 - nach update -> keine locale mails mehr

[Marcus Röckrath]

Hallo Helmut,

Helmut Pohl wrote:

>> Üblicherweise müsste auf jedem eis-Server im lokalen Netz eine eigene
>> Zertifikatsstruktur samt CA installiert werden - oder man macht es eben
>> mit Handarbeit.
>> 
> Ja, genau. So hatte ich es auch. Das hatte aber den Nachteil, dass es im
> internen LAN mehrere CA's gibt...
> 
> Dann hatte ich mir einen Cert-Server erstellt, der als CA-Stelle
> fungiert und für die anderen VM's, PC's, usw. die Zertifikate erzeugt.
> Es gibt dann aber nur eine crl, nämlich die vom CA-Server. Ich hatte
> versäumt, sie auf die Anderen zu übertragen.

Natürlich, das kann man so tun, aber nur manuell.

Ich habe mir die eis-Zertifikate mal angesheen, und dabei festgestellt, das 
das ca.pam zwar

X509v3 CRL Distribution Points:
   Full Name:
   URI:http://lokaledomain/certs/crl.pem

enthält, die Endzertifikate aber nicht. Habe mal intern eine Anfrage an 
Jürgen dazu erstellt.

Wenn ich mir z. B. das gmx-Zertifikat u. a. anschaue, haben die immer diese 
Sektion drin.

> In dem Zusammenhang hätte ich eine Frage, gibt es eine Möglichkeit, für
> die Teilnehmer im LAN, je eine eigene crl zu erstellen?

Verstehe nicht, was du meinst.

Die CA ist für die CRLs zuständig, nämlich für all die Zertifikate, die sie 
unterzeichnet hat.

Was fehlt ist (s. o.), das die auf der CA unterzeichneten Zertifikate eben 
den CRL Ditribution Point enthalten, dann kann die nämlich, sofern auf dem 
CA ein Webserver läuft, abgerufen werden.

Als Beispiel auch mal wieder das gmx-Zertifikat:

X509v3 CRL Distribution Points:
Full Name:
URI:http://crl.serverid.telesec.de/rl/Telekom_Security_ServerID_OV_Class_2_CA.crl

Das gmx-Zertifikat ist von

Issuer: C=DE, O=Deutsche Telekom Security GmbH, CN=Telekom Security ServerID 
OV Class 2 CA

unterzeichnet.

-- 
Gruß Marcus
[eisfair-Team]