dovecot & startssl

sebastian at debianfan.de sebastian at debianfan.de
So Jun 12 15:04:43 CEST 2016 

danke - läuft :-)

Am 11.06.2016 um 21:40 schrieb Andreas Tauscher:
> On 11.06.2016 17:16, sebastian at debianfan.de wrote:
>
>> ssl_cert & ssl_key - aus den Informationen des Dovecot-Buches auf Seite
>> 201 schlussfolgere ich also:
>>
>> ssl_cert_file = /etc/ssl/domain.de.csr
>> ssl_key_file = /etc/ssl/domain.de.key
>
> Die Syntax ist ja geklärt worden.
>
>> Die csr-Datei ist meine selbst erstellte Datei, die key-Datei die,welche
>> ich von Startssl als signiert zurückerhalten habe.
>
> Da hast Du etwas völlig missverstanden.
> Was Du zurückbekommst ist ein Zertifikat und kein Key.
> Den Key gibst Du niemals und nimmer aus der Hand. Wenn dir der abhanden
> kommt ist da Zertifikat kompromittiert, muß widerrufen werden und durch
> ein neues key/crt Paar ersetzt werden.
> Das Zertifikat trötest Du ja eh bei jedem Verbindungsaufbau in die Welt
> hinaus. Key: Geheim. Zertifikat: Öffentlich
>
> Als Du deine Schlüssel erzeugt hast hattest Du am ende drei Dateien:
> * einen Key
> * ein Zertifikat
> * eine .csr Datei die aus Key und Zertifikat erzeugt wurde.
>
> Die .csr Datei hast Du bei Startssl hochgeladen.
> Von Startssl hast du eine zip Datei zurückbekommen. Darin findest Du:
>
> OtherServer.zip Und darin:
>
> 1_Intermediate.crt
> 2_domain.de.crt
>
> Dovecot braucht jetzt:
>
> ssl_key_file = </etc/ssl/domain.de.key
>
> Da gehört der Key hin den DU erzeugt hast.
>
> ssl_cert_file: Das muß jetzt erst zusammengebaut werden.
> Eine CA unterschreibt andere Zertifikate nicht mit dem Zertifikat das
> die browser, mail clients etc. kennen. Das wird mit einem
> Zwischenzertifikat unterschrieben. Das ist 1_Intermediate.crt Dieses
> Zertifikat kennen die Clients nicht! Es ist auch je nach Anwendung
> (Klasse 1, 2 , EV, Code signing etc.) meist ein anderes und kann
> jederzeit geändert werden.
> Damit der Client DEIN Zertifikat überprüfen kann muß die Kette vom root
> Zertifikat bis zu deinem lückenlos sein.
> Dein Zertifikat ist mit dem Intermediate Zertifikat signiert.
> Das Intermediate Zertifikat ist mit dem root Zertifikat unterschrieben.
> Da der Client das Intermediate Zertifikat nicht kennt muß dovecot das
> liefern. Das zusammenbauen ist ganz einfach:
>
> cat 2_domain.de.crt 1_Intermediate.crt > domain.de.crt
>
> ssl_cert_file = </etc/ssl/domain.de.crt
>
> Und schon klappt es mit TLS.
>

Mehr Informationen über die Mailingliste Dovecot