[Postfixbuch-users] postfix/cyrus und thawte-ssl ...

Foo Bar foobar at web.de
Mi Mär 7 16:29:27 CET 2012


On 03/07/2012 03:39 PM, Mathias Jeschke wrote:
> Am 07.03.12 13:37, schrieb Foo Bar:
> 
>> wenn ich wie werner gesagt hat das thawte-root.pem auf dem client
>> nach /etc/ssl/certs kopiere und dann mit "-CApath /etc/ssl/certs"
>> arbeite geht es auch ...
> 
> In /etc/ssl/certs/ca-certificates.crt sollten die gleichen Zertifikate
> enthalten sein, wie als einzelne Dateien unter /etc/ssl/certs.
> 
> Wenn Du also ein Zertifikat Thawte verwendest, was bedeuten dürfte,
> dass das Zertifikat der Root-CA bei OpenSSL (ca-certificates.crt)
> enthalten ist, gibt es im Grunde nur zwei Möglichkeiten warum das
> verify() fehlschlägt:
> 
> 1. Dein Server liefert nicht alle Intermediate-CA-Zertifikate mit.

Gut, kann sein.
Was muß dann in der config wo drin stehen damit er das tut ?

Ein einfaches Einbinden in den Apache tut auch und alle Clients
verstehen es !!! Also müssen ja in meiner thawte_root_intermediate.pem
alle benötigten drin haben, richtig ???

  SSLCertificateChainFile /etc/ssl/Thawte/thawte_root_intermediate.pem
  SSLCertificateFile      /etc/ssl/Thawte/foobar.cert
  SSLCertificateKeyFile   /etc/ssl/Thawte/foobar.key

Wieso geht es dann in der main.cf und in der imap.conf nicht.
Das ist doch nicht logisch.

[...]

> 2. Ist bei ordnungsgemäßer Server-Konfiguration und dem Einsatz von
>    "offiziellen" CA-Zertifikaten kein Eingriff in die Clients nötig.
>    Das ist ja gerade das Geschäftsmodell der Trustcenter ;-)

Was ja mit Apache und allen Browsern auf dieser Welt und meinen Cert's
auch geht ... nur Postfix und Cyrus wollen es mal wieder anders
vorgesetzt haben ... was kann an 3 Einträgen (key-,cert-,rootca-file)
so schwer sein ? Ich versteh es nicht ...





Mehr Informationen über die Mailingliste Postfixbuch-users