Neutrino_2003
05.01.12, 05:07
Hallo Gemeinde :)
Nocheine Frage, die mich beißt:
Da geht es um den Mail-server mit Postfix... http://www.gentoo.org/doc/de/virt-mail-howto.xml
Und zwar genauer um dies:
Befehlsauflistung 5.1: SSL Zertifikate erstellen
# cd /etc/ssl/
# nano -w openssl.cnf
Ändern Sie die folgenden Standardwerte für Ihre Domain:
countryName_default
stateOrProvinceName_default
localityName_default
0.organizationName_default
commonName_default
emailAddress_default.
(Wenn die Variablen nicht existieren, dann erstellen Sie sie an einem sinnvollen Platz.)
# cd misc
# ./CA.pl -newreq-nodes
# ./CA.pl -newca
# ./CA.pl -sign
# cp newcert.pem /etc/postfix
# cp newkey.pem /etc/postfix
# cp demoCA/cacert.pem /etc/postfix
(Nun dasselbe für Apache.)
# openssl req -new > new.cert.csr
# openssl rsa -in privkey.pem -out new.cert.key
# openssl x509 -in new.cert.csr -out new.cert.cert -req -signkey new.cert.key -days 365
(Lassen Sie die Zertifikate einfach hier liegen.
Wir installieren sie nachdem der Apache installiert ist.)
Gut, letzteres "...nachdem Apache installiert ist..." halt ich jetzt mal ein wenig für verkehrte Reihenfolge, da ich meine das Apache, php, mysql schon da sein sollten, damit der ganze "Hergang" auch übersichtlich bleibt...
Doch eine Frage zu den Zertifikaten habe ich noch in Bezug zu ssl mit Postfix:
Angenommen, ich möchte anstatt einer "normalen http://www..." Site lieber eine "https://www..." also - ssl-Verschlüsselte bauen, dann benötige ich ja Zertifikate. (Hier bei mir habe ich dazu Zertifikate selbst signiert um welche zu besitzen und alles simulieren zu können)... Klar- es kommt eine "dusselige Meldung beim connecten über :443 zu "https://www.websitentest.test" - das es ein problem mit der Echtheit des Zertifikates gebe - aber klar.
Doch wie sieht es mit den Zertifikaten für den Postfix Mailsvr aus? Braucht der kein "offizielles" Zertifikat von einer bestimmten Truth of ... Company"? Ich meine, irgendwie ergibt es keinen Sinn, wenn jeder Browser jammert, wenn er auf meine Testsite über ssl connected, aber der Mailsvr Postfix begnügt sich - vor allem - wenn er beim Root zum Einsatz kommt - mit "einfachen selbstsignierten" Zertifikaten, die sich jeder Spammer auch ebenfalls selbst erstellen könnte?! Dann würde doch das ganze "Emperium of Trust" ausgehebelt und meine mails zu 100% nicht jedem zugestellt...
Viel Text, sorry, aber ich wollte es auch so schildern, wie es bei mir im Kopf rumspukt. :confused:
Wäre wirklich sehr nett, wenn ihr mir da ein wenig mehr die Augen öffnet...:o
Gruß
Neutrino_2003
Nocheine Frage, die mich beißt:
Da geht es um den Mail-server mit Postfix... http://www.gentoo.org/doc/de/virt-mail-howto.xml
Und zwar genauer um dies:
Befehlsauflistung 5.1: SSL Zertifikate erstellen
# cd /etc/ssl/
# nano -w openssl.cnf
Ändern Sie die folgenden Standardwerte für Ihre Domain:
countryName_default
stateOrProvinceName_default
localityName_default
0.organizationName_default
commonName_default
emailAddress_default.
(Wenn die Variablen nicht existieren, dann erstellen Sie sie an einem sinnvollen Platz.)
# cd misc
# ./CA.pl -newreq-nodes
# ./CA.pl -newca
# ./CA.pl -sign
# cp newcert.pem /etc/postfix
# cp newkey.pem /etc/postfix
# cp demoCA/cacert.pem /etc/postfix
(Nun dasselbe für Apache.)
# openssl req -new > new.cert.csr
# openssl rsa -in privkey.pem -out new.cert.key
# openssl x509 -in new.cert.csr -out new.cert.cert -req -signkey new.cert.key -days 365
(Lassen Sie die Zertifikate einfach hier liegen.
Wir installieren sie nachdem der Apache installiert ist.)
Gut, letzteres "...nachdem Apache installiert ist..." halt ich jetzt mal ein wenig für verkehrte Reihenfolge, da ich meine das Apache, php, mysql schon da sein sollten, damit der ganze "Hergang" auch übersichtlich bleibt...
Doch eine Frage zu den Zertifikaten habe ich noch in Bezug zu ssl mit Postfix:
Angenommen, ich möchte anstatt einer "normalen http://www..." Site lieber eine "https://www..." also - ssl-Verschlüsselte bauen, dann benötige ich ja Zertifikate. (Hier bei mir habe ich dazu Zertifikate selbst signiert um welche zu besitzen und alles simulieren zu können)... Klar- es kommt eine "dusselige Meldung beim connecten über :443 zu "https://www.websitentest.test" - das es ein problem mit der Echtheit des Zertifikates gebe - aber klar.
Doch wie sieht es mit den Zertifikaten für den Postfix Mailsvr aus? Braucht der kein "offizielles" Zertifikat von einer bestimmten Truth of ... Company"? Ich meine, irgendwie ergibt es keinen Sinn, wenn jeder Browser jammert, wenn er auf meine Testsite über ssl connected, aber der Mailsvr Postfix begnügt sich - vor allem - wenn er beim Root zum Einsatz kommt - mit "einfachen selbstsignierten" Zertifikaten, die sich jeder Spammer auch ebenfalls selbst erstellen könnte?! Dann würde doch das ganze "Emperium of Trust" ausgehebelt und meine mails zu 100% nicht jedem zugestellt...
Viel Text, sorry, aber ich wollte es auch so schildern, wie es bei mir im Kopf rumspukt. :confused:
Wäre wirklich sehr nett, wenn ihr mir da ein wenig mehr die Augen öffnet...:o
Gruß
Neutrino_2003