[Eisfair] mail 1.17.2 - nach update -> keine locale mails mehr

Helmut Pohl helmut_pohl at arcor.de
Mi Feb 18 08:43:51 CET 2026 


Am 17.02.2026 um 14:01 schrieb Marcus Röckrath:
> Hallo Helmut,
> 
> Helmut Pohl wrote:
> 
>>> Üblicherweise müsste auf jedem eis-Server im lokalen Netz eine eigene
>>> Zertifikatsstruktur samt CA installiert werden - oder man macht es eben
>>> mit Handarbeit.
>>>
>> Ja, genau. So hatte ich es auch. Das hatte aber den Nachteil, dass es im
>> internen LAN mehrere CA's gibt...
>>
>> Dann hatte ich mir einen Cert-Server erstellt, der als CA-Stelle
>> fungiert und für die anderen VM's, PC's, usw. die Zertifikate erzeugt.
>> Es gibt dann aber nur eine crl, nämlich die vom CA-Server. Ich hatte
>> versäumt, sie auf die Anderen zu übertragen.
> 
> Natürlich, das kann man so tun, aber nur manuell.
> 
> Ich habe mir die eis-Zertifikate mal angesheen, und dabei festgestellt, das
> das ca.pam zwar
> 
> X509v3 CRL Distribution Points:
>     Full Name:
>     URI:http://lokaledomain/certs/crl.pem
> 
> enthält, die Endzertifikate aber nicht. Habe mal intern eine Anfrage an
> Jürgen dazu erstellt.
> 
> Wenn ich mir z. B. das gmx-Zertifikat u. a. anschaue, haben die immer diese
> Sektion drin.
> 
>> In dem Zusammenhang hätte ich eine Frage, gibt es eine Möglichkeit, für
>> die Teilnehmer im LAN, je eine eigene crl zu erstellen?
> 
> Verstehe nicht, was du meinst.

Was ich meinte ist, ob es nicht möglich wäre für jedes Endzertifikat 
eine eigene crl-Datei  zu erstellen.
z.B.: zertifikat1.pem --> zertifikat1-crl.pem oder auch 
zertifikat1-crl.ocsp (in /var/certs/ssl/crl)
zertifikat2 --> zertifikat2-crl.pem oder auch zertifikat2-crl.ocsp (in 
/var/certs/ssl/crl)

Im Prinzip so, wie es im Moment auf meinem Cert-Server erstellt wurde, 
nur für jedes End-Zertifikat auch ein eigenes End-Zertifikat-crl.

> 
> Die CA ist für die CRLs zuständig, nämlich für all die Zertifikate, die sie
> unterzeichnet hat.
> 
> Was fehlt ist (s. o.), das die auf der CA unterzeichneten Zertifikate eben
> den CRL Ditribution Point enthalten, dann kann die nämlich, sofern auf dem
> CA ein Webserver läuft, abgerufen werden.
> 
> Als Beispiel auch mal wieder das gmx-Zertifikat:
> 
> X509v3 CRL Distribution Points:
> Full Name:
> URI:http://crl.serverid.telesec.de/rl/Telekom_Security_ServerID_OV_Class_2_CA.crl
> 
> Das gmx-Zertifikat ist von
> 
> Issuer: C=DE, O=Deutsche Telekom Security GmbH, CN=Telekom Security ServerID
> OV Class 2 CA
> 
> unterzeichnet.
> 
Ja, das wäre vermutlich das, was ich s.o. meinte.

Was sagt Jürgen dazu?

Gruß,
Helmut

Mehr Informationen über die Mailingliste Eisfair