[Postfixbuch-users] Frage zu OpenSSL

Andre Tann atann at alphasrv.net
Fr Mär 13 09:01:48 CET 2015


Servus zusammen,

ich komm grad bei einer Zertifikatsverlängerung nicht weiter. Das
Zertifikat ist abgelaufen, und ich möchte ein neues selbstsigniertes
Zertifikat einrichten.

# postconf | egrep "^smtpd_tls_(CAfile|cert_file|key_file)"
smtpd_tls_CAfile = /etc/postfix/CA/cacert.pem
smtpd_tls_cert_file = /etc/postfix/CA/cert.pem
smtpd_tls_key_file = /etc/postfix/CA/key.pem

Ist folgendes richtig:

	cacert.pem => ist der öffentliche Schlüssel meiner CA, bleibt
			gleich

	cert.pem => ist das Zertifikat, das auf den neuen Request ausge-
			stellt wurde, diese Datei ist also neu

	key.pem => Ist das private key file meines Postfix => bleibt
			gleich

Ich muß also nur cert.pem austauschen, richtig? Das habe ich auch
gemacht, und in dieser Datei ist das neue Ablaufdatum enthalten:

# openssl x509 -noout -dates -in /etc/postfix/CA/cert.pem
notBefore=Mar 10 07:25:57 2015 GMT
notAfter=Mar  9 07:25:57 2017 GMT

Postfix ist neu gestartet. Warum beschweren sich die Clients trotzdem,
daß das Zertifikat ungültig sei?



Und noch eine Anschlußfrage: wieso braucht Postfix den Pubkey der CA,
dovecot aber nicht?

# grep "^ssl_" /etc/dovecot/dovecot.conf
ssl_cert_file = /etc/postfix/CA/cert.pem
ssl_key_file = /etc/postfix/CA/key.pem



Wo steh ich auf dem Schlauch?

Danke & Gruß

-- 
Andre Tann




Mehr Informationen über die Mailingliste Postfixbuch-users