[Postfixbuch-users] postfix/cyrus und thawte-ssl ...

Andreas Schulze andreas.schulze at datev.de
Mi Mär 7 09:28:38 CET 2012 

Am 06.03.2012 20:34 schrieb foobar at web.de:
> ich versteh irgendwie den ssl-kram nicht ;(

Hallo,
Ich gehe mal von so einem Setup aus. Das ist wohl nicht unüblich:

key.pem
  der private Schlüssel zu cert.pem

cert.pem
  subject= foobar.example.org
   issuer= Zwischen-CA

intermediate.pem
  subject= Zwischen-CA
   issuer= total_vertrauenswürdige_snakeoil_ca

root.pem
  subject=total_vertrauenswürdige_snakeoil_ca
   issuer=total_vertrauenswürdige_snakeoil_ca

Diese Dateien lege ich unter /etc/ssl/foobar.example.org/ ab.
Dann muss man für apache/postfix/dovecot die Dateien unterschiedlich zusammenpacken:

apache braucht
 SSLCertificateChainFile /etc/ssl/foobar.example.org/intermediate+root.pem
 SSLCertificateFile /etc/ssl/foobar.example.org/cert.pem
 SSLCertificateKeyFile /etc/ssl/foobar.example.org/key.pem
 
postfix braucht
 smtpd_tls_cert_file = /etc/ssl/${myhostname}/cert+intermediate+root.pem
 smtpd_tls_key_file = /etc/ssl/${myhostname}/key.pem
Das geht auch dann, wenn man unterschiedliche SMTP-Server hat und denen dann in der master.cf
nur "-o myhostname=submission.example.org" mitgibt :-)
 
dovecot-2.0.x braucht
 ssl_cert = </etc/ssl/foobar.example.org/cert+intermediate+root.pem
 ssl_key = </etc/ssl/foobar.example.org/key.pem

Dann ist da immernoch die Frage, ob man dem Zertifikat der Gegenstelle vertrauen kann/soll/will/muss
Dazu mache ich ein Verzeichnis /etc/ssl/foobar.example.org/trusted_cas/ und linke dort
die CAs aus /etc/ssl/certs rein, denen ich vertrauen will.
Nun könnte man dieses *Verzeichnis* angeben. Zumindest postfix braucht dieses Dateien dann aber innerhalb
der chroot, wenn der SMTP-Server chroot läuft.
Anders, wenn man alle Dateien zu einer zusammenpackt:
  cat /etc/ssl/foobar.example.org/trusted_cas/* > /etc/ssl/foobar.example.org/trusted_cas.pem
Diese Datei kann man dann so einbinden *ohne* die in die chroot kopieren zu müssen.

postfix:
  smtpd_tls_CAfile = /etc/ssl/foobar.example.org/trusted_cas.pem 

Wenn man nun noch mit Symlinks rumspielt, werden Konfig-Dateien plötzlich wieder lesbarer
und völlig unabhängig von den verwendeten Dateinamen :-)

-- 
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Dipl.-Kfm. Dr. Robert Mayr
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen

Mehr Informationen über die Mailingliste Postfixbuch-users