[Eisfair_dev] Verständnisfragen zu Certifikaten

Juergen Edner juergen at eisfair.org
Sa Feb 13 16:19:23 CET 2016 

Hallo Peter,

> ich bekomme mit "TLS certificates warning" einige Zertifikate als
> abgelaufen angezeigt. Allerdings kann ich keine Auswirkungen
> feststellen. Alles läuft, wie es soll.
> 
> Drei der Zertifikate sind "eigene": exim.pem, ipop3d.pem und
> imapd.pem. Sehe ich das richtig, dass ich sie nur brauchen würde,
> wenn ich den Transport zwischen Emailclient und Server im Internen
> Netz verschlüsseln würde?

in der Tat werden diese Zertifikate für den E-Mail Abruf und Versandt
genutzt. Üblicherweise sollten symbolische Links existieren, die dann
auf das Basiszertifikat verweisen.
D.h. wenn Dein Server z.B. "deinserver.local.lan" heißt, sollten die
drei genannten Zertifikate symbolische Links auf dieses Zertifikat
darstellen.

> Und unabhängig davon, ob ich sie aktuell brauche: Wie kann ich die
> Certifikate am einfachsten neu erstellen bzw updaten?

Öffne die ursprünglich für die Erstellung der Zertifikate genutzten
Signaturanforderung (CSR - Certificate signing request) und erstelle
damit ein neues Zertifikat. Dies ist aber nur sinnvoll, wenn das
ursprüngliche Zertifikat bereits mit einem SHA384 oder besserem Hash
erstellt wurde. Sonst empfiehlt sich das Erstellen eines neuen Zertifikats.
Wie dies funktioniert kannst Du detailliert in der Dokumentation des
certs-Paketes nachlesen.

> So ich denn die "show cert-details" richtig verstehe, ist es
> eigendlich ein Certificate (imapd) und exim und ipop3d sind nur per
> Symlink damit verbunden.

Ich empfehle das Basiszertifikat, wie in der Dokumentation beschrieben,
nach dem FQDN zu benennen und darauf dann die symbolischen Links
verweisen zu lassen.

> Dann gibt es noch einige Zertifikate in der Warning Liste in der Form:
> Certificate  : /usr/local/ssl/certs/b42ff584.pem
>   Subject    : /C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden
> Root CA
>   Valid from : Dec 17 09:23:49 2002 GMT
>   Valid until: Dec 16 09:15:38 2015 GMT
> 
> Scheinbar habt mein System für diese keine Verwendung. Vermutlich sind
> die mal mit dem CA certification Bundle auf das System gekommen.
> 
> Wenn ich die löschen möcht, wie gehe ich da am besten vor? Oder macht
> das keinen Sinn, die zu entfernen?

Gehe ins Verzeichnis /usr/local/ssl/certs und lösche die Dateien wenn
sie nicht mehr gebraucht werden. Anschließend solltest Du dann noch die
Hashes aktualisieren: /usr/bin/ssl/c_rehast /usr/local/ssl/certs

Gruß Jürgen
-- 
Mail: juergen at eisfair.org

Mehr Informationen über die Mailingliste Eisfair_dev