[postfix-users] Zertifikatskette (CAcert) im selben File wie das Zertifikat und der Key
Hallo, ich würde gerne wissen ob es erlaubt/möglich ist, dass die Zertifikatskette (CAcert) im selben File ist wie das Zertifikat und der Key. In der Postfix Doku habe ich bereits gefunden, dass das Zertifikat und der Key in der selben Datei sein darf. Nun interessiert mich ob auch das CAcert dort mit rein darf oder ob es unbedingt mit "smtpd_tls_CAfile" extra angegeben werden muss.
Vielen Dank für eure Rückmeldungen.
* de.postfix.org@virtualskill.de de.postfix.org@virtualskill.de:
Hallo, ich würde gerne wissen ob es erlaubt/möglich ist, dass die Zertifikatskette (CAcert) im selben File ist wie das Zertifikat und der Key. In der Postfix Doku habe ich bereits gefunden, dass das Zertifikat und der Key in der selben Datei sein darf. Nun interessiert mich ob auch das CAcert dort mit rein darf oder ob es unbedingt mit "smtpd_tls_CAfile" extra angegeben werden muss.
Extra. Ziemlich sicher.
Hallo Ralf, danke für die Antwort. Ich habe das jetzt einfach mal versucht. Mit "cat ... >> ..." das CAcert an das Zertifikatsfile angehangen. Thunderbird meckert nicht und auch das Senden und Empfangen mit gmail und einem anderen Postfix MTA funktioniert.
Mir ist aber wichtig den Mailserver Standard konform zu betreiben daher würde ich es gerne sicher wissen. Kann ich irgendwie testen ob meine Zertifikatskonfiguration funktioniert?
Der Grund warum ich es nicht einfach über "smtpd_tls_CAfile" angebe ist, dass auf dem Server noch Plesk installiert ist und mir Plesk die main.cf bei einem Update immer überschreibt.
Grüße mjay
Am 04.11.2011 08:34, schrieb Ralf Hildebrandt:
- de.postfix.org@virtualskill.dede.postfix.org@virtualskill.de:
Hallo, ich würde gerne wissen ob es erlaubt/möglich ist, dass die Zertifikatskette (CAcert) im selben File ist wie das Zertifikat und der Key. In der Postfix Doku habe ich bereits gefunden, dass das Zertifikat und der Key in der selben Datei sein darf. Nun interessiert mich ob auch das CAcert dort mit rein darf oder ob es unbedingt mit "smtpd_tls_CAfile" extra angegeben werden muss.
Extra. Ziemlich sicher.
* de.postfix.org@virtualskill.de de.postfix.org@virtualskill.de:
Hallo Ralf, danke für die Antwort. Ich habe das jetzt einfach mal versucht. Mit "cat ... >> ..." das CAcert an das Zertifikatsfile angehangen. Thunderbird meckert nicht und auch das Senden und Empfangen mit gmail und einem anderen Postfix MTA funktioniert.
Mir ist aber wichtig den Mailserver Standard konform zu betreiben daher würde ich es gerne sicher wissen. Kann ich irgendwie testen ob meine Zertifikatskonfiguration funktioniert?
Mit s_client mal auf dem Port verbinden der wirft dann u.a. die Zertifikatskette aus:
openssl s_client -starttls smtp -CApath /etc/postfix/certs/ -connect localhost:25
bei uns: Certificate chain 0 s:/C=DE/O=Charite - Universitaetsmedizin Berlin/OU=Geschaeftsbereich Informationsmanagement/CN=postamt.charite.de i:/C=DE/O=Charite - Universitaetsmedizin Berlin/OU=IT-Zentrum/CN=Charite CA - G02/emailAddress=pki@charite.de 1 s:/C=DE/O=Charite - Universitaetsmedizin Berlin/OU=IT-Zentrum/CN=Charite CA - G02/emailAddress=pki@charite.de i:/C=DE/O=DFN-Verein/OU=DFN-PKI/CN=DFN-Verein PCA Global - G01 2 s:/C=DE/O=DFN-Verein/OU=DFN-PKI/CN=DFN-Verein PCA Global - G01 i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
Am 04.11.2011 10:10, schrieb Ralf Hildebrandt:
- de.postfix.org@virtualskill.dede.postfix.org@virtualskill.de:
Hallo Ralf, danke für die Antwort. Ich habe das jetzt einfach mal versucht. Mit "cat ...>> ..." das CAcert an das Zertifikatsfile angehangen. Thunderbird meckert nicht und auch das Senden und Empfangen mit gmail und einem anderen Postfix MTA funktioniert.
Mir ist aber wichtig den Mailserver Standard konform zu betreiben daher würde ich es gerne sicher wissen. Kann ich irgendwie testen ob meine Zertifikatskonfiguration funktioniert?
Mit s_client mal auf dem Port verbinden der wirft dann u.a. die Zertifikatskette aus:
openssl s_client -starttls smtp -CApath /etc/postfix/certs/ -connect localhost:25
bei uns: Certificate chain 0 s:/C=DE/O=Charite - Universitaetsmedizin Berlin/OU=Geschaeftsbereich Informationsmanagement/CN=postamt.charite.de i:/C=DE/O=Charite - Universitaetsmedizin Berlin/OU=IT-Zentrum/CN=Charite CA - G02/emailAddress=pki@charite.de 1 s:/C=DE/O=Charite - Universitaetsmedizin Berlin/OU=IT-Zentrum/CN=Charite CA - G02/emailAddress=pki@charite.de i:/C=DE/O=DFN-Verein/OU=DFN-PKI/CN=DFN-Verein PCA Global - G01 2 s:/C=DE/O=DFN-Verein/OU=DFN-PKI/CN=DFN-Verein PCA Global - G01 i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
Vielen Dank für deine Hilfe. Die Ausgabe sieht korrekt aus. Mir wird die Zertifikatskette (wie bei dir) und das Serverzertifikat ausgegeben. Man kann also allem Anschein nach alles in eine Datei packen (PrivateKey, Zertifikat und CA Zertifikat).
Grüße mjay
Hallo!
Am Thu, 03 Nov 2011 23:36:01 +0100 de.postfix.org@virtualskill.de schrieb:
Hallo, ich würde gerne wissen ob es erlaubt/möglich ist, dass die Zertifikatskette (CAcert) im selben File ist wie das Zertifikat und der Key. In der Postfix Doku habe ich bereits gefunden, dass das Zertifikat und der Key in der selben Datei sein darf. Nun interessiert mich ob auch das CAcert dort mit rein darf oder ob es unbedingt mit "smtpd_tls_CAfile" extra angegeben werden muss.
Bei mir ist das Zertifikat und die gesamte Kette in einer Datei. Der private Schlüssel in einer eigenen Datei, damit die Rechte anders gesetzt werden können. Ich benutze das Zertifikat für verschiedene Dienste.
Meine Konfiguration: main.cf: smtpd_tls_cert_file = /etc/ssl/certs/mailix.bbaw.de.pem smtpd_tls_key_file = /etc/ssl/private/mailix.bbaw.de.key
Deshalb benötige ich auch kein smtpd_tsl_CAfile.
Grüße Lars
On 11/04/11 10:05, Lars Täuber wrote:
smtpd_tls_cert_file = /etc/ssl/certs/mailix.bbaw.de.pem smtpd_tls_key_file = /etc/ssl/private/mailix.bbaw.de.key
Deshalb benötige ich auch kein smtpd_tsl_CAfile.
Die Anweisungen haben auch verschiedene Funktionen:
smtpd_tls_cert_file ist das Zertifikat das Postfix selbst rausgibt (d.h. an den SMTP-Client sendet), da sollte die ganze Kette drinstehen, damit der Client das auch verifizieren kann.
smtpd_tsl_CAfile bzw. smtpd_tls_CApath enthalten die Rootzertifikate um ggf. die Clients zu verifizieren.
participants (4)
-
de.postfix.org@virtualskill.de -
Lars Täuber -
Martin Schütte -
Ralf Hildebrandt