[Postfixbuch-users] Ein Zertifikat für alles ?

Patrick Ben Koetter p at state-of-mind.de
Sa Jan 8 13:14:47 CET 2005


* Thorsten Reichelt <Thorsten_Reichelt at gmx.de>:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> Hallo !
> 
> Ich habe mir Postfix und Cyrus installiert und möchte beide Dienste
> nur verschlüsselt anbieten. Da Cyrus zuerst lief hatte ich mir dafür

Wenn Du SMTP nur verschlüsselt anbietest, können andere SMTP Server
eventuell nichts anliefern oder abnehmen. Das ist in der Praxis nicht
empfehlenswert und würde gegen das RFC verstossen.

> schon ein Zertifikat erstellt. Dieses und der Schlüssel liegt unter
> 
> tls_cert_file: /etc/ssl/certs/cyrus-global.pem
> tls_key_file: /etc/ssl/private/cyrus-global.key
> tls_ca_file: /etc/ssl/cyrus-global.pem
> 
> Gestern habe ich dann endlich auch mal TLS bei Postfix aktiviert
> und mir dafür dann auch wieder ein Zertifikat erstellt (nach der
> Anleitung ab Seite 405).
> 
> Die Dateien für Postfix liegen alle unter
> 
> smtpd_tls_cert_file = /etc/postfix/ssl/postfix-cert.pem
> smtpd_tls_key_file = /etc/postfix/ssl/postfix-key.pem
> smtpd_tls_CAfile = /etc/postfix/ssl/postfix-CAcert.pem
> 
> Jetzt habe ich das Problem das Thunderbird eines der Zertifikate
> nicht dauerhaft akzeptieren will wenn ich gleichzeitig auf
> IMAP und Postfix zugreife.

Du mußt das /etc/postfix/ssl/postfix-CAcert.pem auf dem host
importieren, der den mail client ausführt. Die Logik ist wie folgt:

S: Hallo ich bin der TLS Postfix.
C: Hallo
S: Hier ist mein postfix-cert.pem. Es wurde beglaubigt von
   postfix-CAcert.pem
C: so so, die CA mit dem postfix-CAcert.pem kenn ich aber nicht.
   Das was Du, TLS Postfix, da sagst, könnte ja jeder sagen. Dich mag
   ich nicht...

Sobald Du das postfix-CAcert.pem importierst, kann der client nachsehen,
ob die Unterschrift im postfix-cert.pem mit der von postfix-CAcert.pem
übereinstimmt. Wenn sie stimmt, dann glaubt der client dem TLS Postfix.

Welches OS nutzen Deine Mail Clients?

> Darf ich denn nicht zwei verschiedene Zertifikate für einen Server
> verwenden wenn sich die Dienste unterscheiden?

Du darfst.

> Und kann ich jetzt einfach das neue Postfix Zertifikat und den
> Schlüssel für Cyrus verwenden, oder gibt das auch Probleme?

Wenn der Common Name in beiden Fällen (SMTP, IMAP) mit dem hostname mit
dem sich die dienste melden übereinstimmt, dann geht das auch.

p at rick

-- 
SMTP AUTH
Howto: <http://postfix.state-of-mind.de/patrick.koetter/smtpauth/>
Debug: <http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>




Mehr Informationen über die Mailingliste Postfixbuch-users