[Eisfair] Mail-Addon-Certs vollständige Kette

[Marcus Röckrath]

Hallo Detlef,

Detlef Paschke wrote:

> Die jeweiligen Serverzertifikate können mit:
> 
> /var/install/bin/certs-request-cert --writecert --replace --certdetails
> imap secureimap.t-online.de
> /var/install/bin/certs-request-cert --writecert --replace --certdetails
> imap imap.gmail.com
> 
> oder mit dem Mail-Addon-Certs-Paket geladen werden.

Genau.

> Wie hier schon steht:
> 
https://www.eisfair.org/doku.php?id=eisfair:hilfe:howtos:mail:mailaddoncerts
> werden vom Mail-Addon-Certs-Paket NICHT die nötigen Zwischen- oder
> Root-Zertifikate geladen und so kommt der Eine oder Andere womöglich auf
> den Gedanken, zur Notlösung ein CA-Bundle zu installieren.

Das stimmt so nicht ganz, den üblicherweise bekommt man die 
Zwischenzertifikate schon, da sie in der Regel im Endzertifikat mit drin 
stecken und werden dann auch installiert.

So kommt das Zwischenzertifikat telekom_security_serverid_ov_class_2_ca.pem 
automatisch aufs System, wenn man ein gmx- oder telekom-Zertifikat über 
obige Schritte installiert.

> Ich möchte
> das nicht sondern ausschließlich die Zertifikate auf dem System haben,
> die ich auch wirklich benötige.

Genau, habe ich hier auch so und es mindert massiv die Gefahr, dass die at-
Jobs für die CRL-aktualisierung Amok laufen.

> Ansonsten ist es ganz schnell so, dass
> man "jeden zweiten Sonntag Morgen" eine Mail im Postfach hat, dass
> wieder irgend ein Zertifikat vor dem Ablauf steht, welches man in keiner
> Weise benötigt.

Oder das.

> Bei mir haben Heute zwei Zertifikate für das neue System gefehlt. Das
> Zertifikat t-telesec_globalroot_class_2.pem was für für
> secureimap.t-online.de gebraucht wird und globalsign_root_ca.pem was
> imap.gmail.com braucht habe ich händisch eingefügt, und alles war gut.

Das sind dann die root-Zertifikate.

> Es sollte sich doch aber machen lassen, dass auch benötigte Root- und
> Zwischen-Zertifikate von Mail-Addon-Certs abgearbeitet werden.

IMHO nein, weil man Endzertifikate durch simple Anfrage an den Server. dem 
sie gehören, abfragen kann. Im Prinzip passiert bei der Installation eines 
Zertifikates nichts anderes als das, was bei dem Aufbau einer Mail- oder 
HTTPS-Sitzung passiert. Der Server schickt sein Zertifikat.

Es gibt keinen Mechanismus, auf ähnliche Weise das root-Zertifikat 
abzurufen. Man muss immer nach einer Downloadquelle für das Root-Zertifikat 
suchen. Das, was in Issuer/Subject steht, ist wichtiger Hinweis, mit dem man 
dann auf der Webseite der Zertifkatsstelle aus einer Vielzahl - oft auch 
ähnlich lautender - Zertifikate, das richtige im richtigen Format 
downzuloaden.

> Solange subject und issuer nicht identisch ist, ist die Kette nicht
> vollständig und es sind Zertifikate zu laden.

Klar.

> Nur so ein verrückter Gedenke, wenn man schon ein Paket extra zum laden
> der benötigten Zertifikate hat...

Funktioniert nicht und da ich die Suche nach dem root-Zertifikat auch echt 
mühsam finde, gibt es schon lange eine schnelle manuelle Art, das notwendige 
Zertifikat aus dem Bundle zu "extrahieren", nämlich über unsere HowTo-Seite:

https://www.eisfair.org/doku.php?id=eisfair:hilfe:howtos:zertifikate:mozillabundle

Die von dir gesuchten Zertifikate sind da enthalten. Namen suchen, eventuell 
bei vielen mit ähnlichem Namen genauer hinschauen, aufklappen und den Inhalt 
in ein pem-File, man kann ja den Namen nehmen, wie er auch auf der HowTo-
Seite vorgeschlagen ist, kopieren und rehashen.

Das wars.

Finde, das sollte in ein paar Minuten erledigt sein.

PS: Das es dieses HowTo gibt, hat bestimmt kaum einer wirklich auf dem 
Schirm. :-)

-- 
Gruß Marcus
[eisfair-Team]