[Postfixbuch-users] Keygenerierung OpenSSL

[Patrick Ben Koetter]

* Jim Knuth <jk at jkart.de> [040628 23:43]:
> Hallo und guten Abend Patrick,
> 
> danke für die Email vom 28.06.2004 um 23:22
> Patrick Ben Koetter schrieb - wrote:
> 
> > Sieh es mal so: Postfix kann nur ein cert einbinden, um sich selber
> > auszuweisen. Es kann also nur _eine_ Identität annehmen.
> 
> kann man eigentlich das Zertifikat nachträglich ändern?

Das cert file selber nicht, denn dann würde AFAIK der hash den es in
sich trägt einen anderen Wert aufweisen und alle wären auf Alarm, weil
die Prüfsumme auf eine Manipulation des certs hinweist.

Das ist aber nicht sooooo schlimm, außer Du hast ein offizielles CA cert
und mußt nochmal die Signierung bezahlen.

Wenn Du ein self-signed cert hast, dann bist Du selber die CA, erstellst
ein Neues private keyfile für Postfix, generierst als CA ein public cert
daraus und gibst ihm die neuen zur Hand.

Den clients ist das egal, solange sie die CA kennen, die das public cert
von Postfix ge'signed' hat, damit sie die verification chain verfolgen
können, um die Validität des Postfix public certs zu prüfen.

Ähh, ja. Genau!

p at rick


> 
> -- 
> Viele Grüße, Kind regards,
>  Jim Knuth
>  jk at jkart.de
>  ICQ #277289867
> ----------
> Zufalls-Zitat
> ----------
> Wenn unser Gehirn so einfach wäre, dass wir es verstehen könnten,
> dann wären wir so dumm, daß wir es doch nicht verstehen könnten.
> ----------
> Dieser Text hat nichts mit dem Empfänger der Mail zu tun
> ----------
>     
> virengeprüft mit NOD32 Version 1.796 Update 26.06.2004
> 
> -- 
> _______________________________________________
> Postfixbuch-users mailingliste
> JPBerlin - Mailbox und Politischer Provider
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Patrick Koetter <p at state-of-mind.de>
http://postfix.state-of-mind.de/patrick.koetter/