AW: verschlüsselter Austausch Server <-> Server

[Torben Dannhauer]

Hi

Ich habe ein Class II Zert bei StartSSL und nutze es für Dovecot und Postfix

Dann kannst du dir ein Zert mit SANs und Wildcards erstellen für 59 USD. Dann hast gleich die Sub Domains wie imap., smtp. und pop. mit abgesichert.

Man zahl nicht per Zertifikat sondern für den Aufwand der personal identity validation (59USD). Man kann dann beliebig viele Certs kostenlos erstellen für den Preis innerhalb der gültigen Validierungsperiode (300 Tage gültig.) Man muss nur Owner der Domain sein - da reagieren sie sehr empfindlich.

Mein Zert mit 3 SANs (in der Summe also 4 Einträge) schaut so aus:
Domain1.tld
*.Domain1.tld
Domain2.tld
*.Domain2.tld

Wenn man sein StartSSL Zert nun in den Händen hält (pem Format), kann man es so aufbereiten für Dovecot, Postfix und Apache:

Kombinieren des CA-root und -intermediate files in ein CA bundle file (wichtig: Class I Zertifikate brauchen Class I intermediate, Class II Zertifikate das zugehörige Class II intermediate Zert!!):

	cat startssl-intermediate.sha2.pem.crt startssl-root.pem.crt > startssl-CAbundle.pem.crt

Kombinieren des Serverzertifikates und des eben erstellten CA bundles für Dovecot:

	cat your-cert.pem.crt startssl-CAbundle.pem.crt > your-cert.dovecot.pem.crt



Ich habs in dovecot die SSL/TLS-Konfiguration dann so gelöst:


Schönes Tutorial für Perfect Foward Secrecy: http://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/
	
# vim /etc/dovecot/conf.d/10-ssl.conf:
 
ssl = required
ssl_cert = </etc/ssl/certs/ your-cert.dovecot.pem.crt
ssl_key = </etc/ssl/private/ your-cert.dovecot.key
 

Erweitern des Logs um den Parameter %k um den verwendeten Cipher sehen zu können:
	
vim /etc/dovecot/conf.d/10-logging.conf
 
login_log_format_elements = "user=<%u> method=%m rip=%r lip=%l mpid=%e %c %k"


Bei CAs mit Intermediate-Zertifikaten (z.B. startSSL.com), müssen die Zertifikate entsprechend der Reihenfolge
der Zertifikatskette in die Zert-Datei eintragen werden, beginnend mit dem eigentlichen Serverzertifikat gefolgt vom nächst höheren Zertifikat bis zum höchsten Zertifikat am Ende.

Ergänzen der Einstellungen dann ggfs. um die Ciphers und Empfehlungen von bettercrypto.org



...
soweit ein dirty brain dump von mir


LG,
Torben


-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von sebastian at debianfan.de
Gesendet: Dienstag, 14. Juni 2016 22:59
An: postfixbuch-users at listen.jpberlin.de
Betreff: Re: verschlüsselter Austausch Server <-> Server

Es liegt an den Zertifikaten (am Inhalt) - ich habe diese nochmal neu generiert - jedoch meckert er jetzt herum:

SSL3 alert read:fatal:bad certificate

Hat einer von Euch ein HowTo in welchem beschrieben wird, wie mittels StartSSL ein Wildcard Level 2 Zertifikat erstellt und in Postfix eingebunden wird?

Ich bin wie folgt vorgegangen:

openssl genrsa -out domainname-private-ssl.key 4096

openssl req -new -key domainname-private-ssl.key -out domainname.csr
---> hier als Domainnamen *.domain.de angegeben

--> den CSR bei StartSSL eingereicht

die OtherServers.zip entpackt

mein Privater Key ist die eine Datei für Postfix

die Kombination aus dem signierten Schlüssel von StartSSL und dem https://www.startssl.com/certs/der/sca.server2.crt ist die zweite Datei


Scheinbar gibts hier Probleme - das funktioniert halt nicht :-/


Am 14.06.2016 um 22:21 schrieb Andreas Pothe:
> Hallo,
>
>
> Am 14.06.2016 um 21:45 schrieb sebastian at debianfan.de:
>> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: cannot get RSA
>> private key from file /etc/ssl/private/xn--deiner-dta.de.key.priv:
>> disabling TLS support
>> Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: TLS library
>> problem: error:0B080074:x509 certificate
>> routines:X509_check_private_key:key values mismatch:x509_cmp.c:341:
>
> Das dürfte der Fehler sein!
>