[Postfixbuch-users] TLS: Validierung Zertifikat bei Zertifikatskette

[Tobias Luithardt]

Hi Mathias,

ich vertraue eigentlich nur der Sub-CA1, die stark validierte Zertifikate ausstellt:
ROOT-CA -> Sub-CA1 -> Zertifikat(starke Validierung)
ROOT-CA -> Sub-CA2 -> Zertifikat(schwache Validierung)

Wenn ich jetzt der ROOT-CA vertraue - laut Pascal - vertraue ich auch Sub-CA2.
Dies möchte ich aber nicht.

Ich möchte eigentlich nur der Kette
ROOT-CA -> Sub-CA1
vertrauen.

Ist dies möglich?

Grüssle
Tobi
______
Von: postfixbuch-users-bounces at listen.jpberlin.de [postfixbuch-users-bounces at listen.jpberlin.de]" im Auftrag von "Mathias Jeschke [postfixbuch-users at gmj.cjb.net]
Gesendet: Dienstag, 26. April 2011 10:05
An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
Betreff: Re: [Postfixbuch-users]        TLS:    Validierung     Zertifikat      bei     Zertifikatskette

Am 26.04.11 09:52, schrieb Tobias Luithardt:

> kann man dieses Verhalten mit Postfix Mitteln verhindern?
> Also dass er nur einem Zertifikat vertraut, wenn auch die
> passende Sub-Ca hinterlegt ist?

D.h. Du vertraust der Root-CA nicht, die das Zertifikat für die "Sub-CA"
ausgestellt hat.

Lösche das entsprechende Zertifikat der Root-CA in /etc/ssl/certs
(oder wo auch immer Deine libssl die Zertifikate aufbewahrt).

Gruß,
Mathias
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users