[Postfixbuch-users] Verschlüsselte Verbindungen (TLS, IMAP-SSL POP-SSL)

Patrick Ben Koetter p at state-of-mind.de
Mi Okt 13 21:34:52 CEST 2004


* Ralf Hildebrandt <Ralf.Hildebrandt at charite.de> [041013 14:28]:
> > Am Mittwoch, 13. Oktober 2004 10:25 schrieb up2date:
> > > Ralf Hildebrandt wrote:
> > > >Das SSL Zertifikat sollte schon zum Hostnamen der Maschine passen...
> > >
> > > Ist mir schon klar deswegen kommt die Fehlermeldung.
> > > Ich will aber das wenn die email adresse zum beispiel
> > > mustermann at domain2.de ist das der server lautet mail.domain2.de ist und
> > > nicht mail.domain1.de.
> > 
> > du kannst nur ein Zertifikat pro IP:Port installieren. Wenn du mehrere 
> > Zertifikate brauchst, musst du diese über mehrere IPs und / oder Ports 
> > verteilen.
> 
> Das stimmt so nicht. Es gibt "Subject alternative names" in
> Zertifikaten. Patrick?


Ja, es gibt sogenannte SubjectAlternativeNames und Postfix TLS
unterstützt die auch dank Lutz stetigem Arbeiten am Patch.

Es geht wie folgt: Ein Zertifikat kann zusätzlich zum CN, in dem man den
FQDN hostname des TLS Servers angibt, weitere gültige FQDN hostnames
beinhalten; das Eintragsfeld dazu heißt SubjectAlternativeNames.

Ich selbst kenne das nur, hatte aber noch nicht die Zeit, mir das
genauer anzusehen.

Aber Achtung: Viele offizielle CAs sollen angeblich, ich habe das nicht
verifiziert, keine certs signieren, die solche SubjectAlternativeNames
beinhalten, weil - so wurde mir gegenüber behauptet - ihnen damit Geld
flöten geht. Wenn (!) dem so ist, dann hilft da sicher nur nach einer
brauchbaren CA suchen oder seine eigene CA aufbauen.

p at rick









-- 
SMTP AUTH
Howto: <http://postfix.state-of-mind.de/patrick.koetter/smtpauth/>
Debug: <http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>




Mehr Informationen über die Mailingliste Postfixbuch-users