[Postfixbuch-users] TLS: Validierung Zertifikat bei Zertifikatskette
Mathias Jeschke
postfixbuch-users at gmj.cjb.net
Di Apr 26 11:07:30 CEST 2011
Am 26.04.11 10:50, schrieb Tobias Luithardt:
> ich vertraue eigentlich nur der Sub-CA1, die stark validierte Zertifikate ausstellt:
> ROOT-CA -> Sub-CA1 -> Zertifikat(starke Validierung)
> ROOT-CA -> Sub-CA2 -> Zertifikat(schwache Validierung)
>
> Wenn ich jetzt der ROOT-CA vertraue - laut Pascal - vertraue ich auch Sub-CA2.
> Dies möchte ich aber nicht.
Wie ich schon geschrieben habe:
Wenn Du der "Sub-CA2" nicht traust (und das bedeutet, dass Du der
Root-CA nicht traust!), dann entferne das Zertifikat der Root-CA.
> Ich möchte eigentlich nur der Kette
> ROOT-CA -> Sub-CA1
> vertrauen.
>
> Ist dies möglich?
Falls Du dennoch der "Sub-CA1" traust (worin ich aber auch so meine
Zweifel habe), dann kopiere das entsprechende Zertifkat _der Sub-CA1_
nach /etc/ssl/certs (und setze den entsprechenden Symlink).
Dann kann Postfix auch Zertifikate, die von der "Sub-CA1" ausgestellt
wurden, als gültig verifizieren.
BTW: Bitte kein TOFU: http://de.wikipedia.org/wiki/TOFU
Gruß,
Mathias
Mehr Informationen über die Mailingliste Postfixbuch-users