[Postfixbuch-users] Zertifikatstyp für Mailrelays mit postfix+TLS

[Marcel Hartmann]

> * Matthias Haegele <mhaegele at linuxrocks.dyndns.org>:
> > Jan P. Kessler schrieb:
> > > Hallo Gregor,
> > > 
> > >> wird beim Versand nicht das Serverzertifikat der 
> Gegenstelle für die
> > >> Verschlüsselung verwendet?
> > > 
> > > klar, aber wenn die Gegenstelle nach einem client-CERT fragt
> > > (smtp_tls_ask_ccert = yes, z.B. zur Authentisierung), 
> erhalte ich die
> > > beschriebene Fehlermeldung (unsupported certificate type). Mit
> > > selbstsignierten CERTs ist das alles kein Problem, da der 
> nsCertType in
> > > der openssl.cnf einfach leer bleibt, aber der Kunde hätte 
> da gerne etwas
> > > von einem akkreditierten Anbieter.
> > 
> > Dann bleibt u. U. nichts anderes als ein solches (teuer?) 
> zu erwerben, 
> > falls er die freie(n) Zertifizierung(sstellen) ablehnt.
> > (mir ist gerade der Name entfallen, vielleicht kann jemand 
> weiterhelfen 
> > P at trick macht da unter anderem auch mit ...).
> 
> www.cacert.org

Will heissen man bekommt dort ein Server Zertifikat, welches man nutzen
kann, um sicheres Mail zu gewährleisten, "ohne" dass diese
Sicherheitsabfrage
dann erscheint? Dies konnte ich bisher nur realisieren, indem ich selbst
eines
erstellt hatte. Das passende Zertifikat im DER Format mussten dann die User
allerdings manuell im Browser installieren, dann war diese Meldung weg.

Verstehe ich das nun richtig, dass man mit cacert.org Zertifikaten "keine"
Meldung vom MUA bekommt, wenn man per SSL connecten will? Oder muss der user
auch
dort einmal das cacert.org rootCA installieren? Dann wäre es ja das selbe in
Grün. :)

Lieben Gruß

Marcel

---
Marcel Hartmann

Bokeler Landstraße 24a, 26215 Wiefelstede / Bokel
Tel 044 02 - 69 55 800,    Fax 044 02 - 69 55 801
mail at marcel-hartmann.com, www.marcel-hartmann.com
---