PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : CyrusImap verschlüsselt ins LAN und Inet



Zalon
16.10.05, 18:26
Hallo zusammen,

habe folgendes Problem:
Mein Cyrus21-Imapd arbeitet mit TLS und bedient sowohl ins LAN als auch über die zweite Schnittstelle ins Internet. Jetzt habe ich ein Zertifikat erstellt und als Namen den Rechnernamen fürs Internet (xy.no-ip.com) angegeben.
Bei Anfragen vom LAN nörgeln die Mailclients (Thunderbird) jetzt, dass der Name im Zertifikat nicht mit dem Rechnernamen übereinstimmt, was ja auch richtig ist.

Wie kann ich das beheben? Kann ich zwei Zertifikate an Cyrus übergeben, je nach Abfrage (oder Schnittstelle eth0 oder eth1 bzw. ppp0) differenziert?

Mir wurde auch mal der Tipp gegeben, ich sollte einfach alle Anfragen aus dem LAN umleiten, jedoch scheiterte das an meinen beschränkten DNS-Erfahrungen.

Bin für alle Ideen dankbar.

Gruß Zalon

derRichard
16.10.05, 18:56
Hallo zusammen,

habe folgendes Problem:
Mein Cyrus21-Imapd arbeitet mit TLS und bedient sowohl ins LAN als auch über die zweite Schnittstelle ins Internet. Jetzt habe ich ein Zertifikat erstellt und als Namen den Rechnernamen fürs Internet (xy.no-ip.com) angegeben.
Bei Anfragen vom LAN nörgeln die Mailclients (Thunderbird) jetzt, dass der Name im Zertifikat nicht mit dem Rechnernamen übereinstimmt, was ja auch richtig ist.

Wie kann ich das beheben? Kann ich zwei Zertifikate an Cyrus übergeben, je nach Abfrage (oder Schnittstelle eth0 oder eth1 bzw. ppp0) differenziert?

Mir wurde auch mal der Tipp gegeben, ich sollte einfach alle Anfragen aus dem LAN umleiten, jedoch scheiterte das an meinen beschränkten DNS-Erfahrungen.

Bin für alle Ideen dankbar.

Gruß Zalon
hallo!

ein problem in der art hatte ich auch mal. die einfachste lösung ist, dass man einfach 2 imap-server startet...
einer für lan und der andere für wan.

//richard

Roger Wilco
16.10.05, 19:32
Du könntest den FQDN des Servers im LAN einfach als Alternative Name in das Zertifikat packen. Geht ab SSLv3/TLSv1.

Zalon
16.10.05, 20:44
Danke für die Hilfe! Nachdem ich nur ungerne einen zweiten imap laufen lassen würde, versuche ich mich mal an der Sache mit dem Alternative Name.

Muss jetzt nur noch rauskriegen, wie das hingeht. Hast du evtl. einen Link oder kannst du mir so weiterhelfen?

Schonmal vielen Dank

Roger Wilco
16.10.05, 21:15
Muss jetzt nur noch rauskriegen, wie das hingeht. Hast du evtl. einen Link oder kannst du mir so weiterhelfen?
Auf Anhieb habe ich nur die offizielle Doku: http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name_

Du solltest aber auch im Hinterkopf behalten, dass der Client das auch unterstützen muß. Ich weiß nicht, inwiefern das schon in allen Mailclients unterstützt wird.

Zalon
17.10.05, 20:12
Ok, danke. Werde mal sehen wie ich das dann in das Zertifikat einbinden kann.

Danke für den Hinweis wegen der Clients, da hab ich gar nicht dran gedacht. Mal sehen ob's klappt.

Gruß, Zalon

Zalon
19.10.05, 22:20
Hallo wieder,

habe jetzt einige Zeit gegoogelt und auch die Man-Einträge angesehen, aber leider bin ich immer noch nicht so richtig schlau geworden.

Wie kann ich bei der Erstellung des Zertifikates den AltName mit einbinden lassen? Hoffe ihr könnt mir weiterhelfen.

Vielen Dank.