[Postfixbuch-users] SSL-Zertifikat

[Werner Detter]

Hi,

> Grundsätzlich sind nur die großen Zertifizierer bereits im Client des Kunden
> eingetragen. Wenn man nun ein Zertifikat erstellt (Bsp. eigene Firma) dann
> ist es notwendig dieses Zertifikat einmal auf den Clients zu akzeptieren und
> als 
> Vertrauenswürdig einzustufen, da diese es ja natürlich nicht kennen können.

das ist genau der Punkt, dies CA ist eben nicht im client bereits 
eingetragen, muss also durch manuelles akzeptieren des Clients erledigt
werden. Genau hier kommt das Brückenzertifikat ca-cert.crt ins Spiel,
dies ist offensichtlich dazu da, die CA einzutragen.

> Wenn man ein Zertifikat kauft, sollte dieser Schritt imho nicht notwendig
> sein,
sofern die CA des Zertifikats dem Client bekannt ist

> denn andernfalls könnte man sich dieses wie oben genannt auch selbst
> erstellen,
> wenn die Kunden es dann trotzdem als Vertrauenswürdig einstufen müssen.
dann verhält es sich IMHO wie mit selbst erstellten sog. 
selfsigned-Zertifikaten. Dort bin ich auch meine eigene CA die ich 
mittels smtpd_tls_CAfile einbinde und der Client muss durch manuelles
akzeptieren das Zertifikat einbinden. Schade, dann werd ich bei dem
öffentlichen Mailserver wohl nicht um ein teureres Zertifikat von
Trustcenter rumkommen denn ich möchte den Kunden nicht zumuten jedes
Mal das Zertifikat manuell in den lokalen CA-Stamm implementieren zu
müssen.

Grüsse,
Werner