Archiv verlassen und diese Seite im Standarddesign anzeigen : CyrusImap verschlüsselt ins LAN und Inet
Hallo zusammen,
habe folgendes Problem:
Mein Cyrus21-Imapd arbeitet mit TLS und bedient sowohl ins LAN als auch über die zweite Schnittstelle ins Internet. Jetzt habe ich ein Zertifikat erstellt und als Namen den Rechnernamen fürs Internet (xy.no-ip.com) angegeben.
Bei Anfragen vom LAN nörgeln die Mailclients (Thunderbird) jetzt, dass der Name im Zertifikat nicht mit dem Rechnernamen übereinstimmt, was ja auch richtig ist.
Wie kann ich das beheben? Kann ich zwei Zertifikate an Cyrus übergeben, je nach Abfrage (oder Schnittstelle eth0 oder eth1 bzw. ppp0) differenziert?
Mir wurde auch mal der Tipp gegeben, ich sollte einfach alle Anfragen aus dem LAN umleiten, jedoch scheiterte das an meinen beschränkten DNS-Erfahrungen.
Bin für alle Ideen dankbar.
Gruß Zalon
derRichard
16.10.05, 18:56
Hallo zusammen,
habe folgendes Problem:
Mein Cyrus21-Imapd arbeitet mit TLS und bedient sowohl ins LAN als auch über die zweite Schnittstelle ins Internet. Jetzt habe ich ein Zertifikat erstellt und als Namen den Rechnernamen fürs Internet (xy.no-ip.com) angegeben.
Bei Anfragen vom LAN nörgeln die Mailclients (Thunderbird) jetzt, dass der Name im Zertifikat nicht mit dem Rechnernamen übereinstimmt, was ja auch richtig ist.
Wie kann ich das beheben? Kann ich zwei Zertifikate an Cyrus übergeben, je nach Abfrage (oder Schnittstelle eth0 oder eth1 bzw. ppp0) differenziert?
Mir wurde auch mal der Tipp gegeben, ich sollte einfach alle Anfragen aus dem LAN umleiten, jedoch scheiterte das an meinen beschränkten DNS-Erfahrungen.
Bin für alle Ideen dankbar.
Gruß Zalon
hallo!
ein problem in der art hatte ich auch mal. die einfachste lösung ist, dass man einfach 2 imap-server startet...
einer für lan und der andere für wan.
//richard
Roger Wilco
16.10.05, 19:32
Du könntest den FQDN des Servers im LAN einfach als Alternative Name in das Zertifikat packen. Geht ab SSLv3/TLSv1.
Danke für die Hilfe! Nachdem ich nur ungerne einen zweiten imap laufen lassen würde, versuche ich mich mal an der Sache mit dem Alternative Name.
Muss jetzt nur noch rauskriegen, wie das hingeht. Hast du evtl. einen Link oder kannst du mir so weiterhelfen?
Schonmal vielen Dank
Roger Wilco
16.10.05, 21:15
Muss jetzt nur noch rauskriegen, wie das hingeht. Hast du evtl. einen Link oder kannst du mir so weiterhelfen?
Auf Anhieb habe ich nur die offizielle Doku: http://www.openssl.org/docs/apps/x509v3_config.html#Subject_Alternative_Name_
Du solltest aber auch im Hinterkopf behalten, dass der Client das auch unterstützen muß. Ich weiß nicht, inwiefern das schon in allen Mailclients unterstützt wird.
Ok, danke. Werde mal sehen wie ich das dann in das Zertifikat einbinden kann.
Danke für den Hinweis wegen der Clients, da hab ich gar nicht dran gedacht. Mal sehen ob's klappt.
Gruß, Zalon
Hallo wieder,
habe jetzt einige Zeit gegoogelt und auch die Man-Einträge angesehen, aber leider bin ich immer noch nicht so richtig schlau geworden.
Wie kann ich bei der Erstellung des Zertifikates den AltName mit einbinden lassen? Hoffe ihr könnt mir weiterhelfen.
Vielen Dank.
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.