SSL Key für Apache, Postfix und Dovecot?

[Domi]

Hallo Leute, ich habe da mal eine kleine Frage bezüglich der SSL Keys..
Ich habe mir jetzt für postfix und dovecot ein eigenes Zertifikat erstellt und eingebunden. Funktioniert auch soweit, frage ist jetzt ob ich bei der Erstellung von dem Zertifikat etwas genaueres beachten muss / sollte?!

Verwendet habe ich dafür folgendes Beispiel...

openssl req -x509 -out ~/mail01-cert.pem -newkey rsa:2048 -keyout ~/mail01-key.pem -nodes -sha256 -days 365

Kann man dieses Zertifikat auch für Apache verwenden, oder wäre das nicht so sinnvoll? Ich brauche im prinzip kein trusted Zertifikat, da der Server via HTTPS nur für mich interessant ist, wegen postfixadmin und das Zertifikat für den Mailserver wird nur von meinem Thunderbird und den Kollegen hier im Büro verwendet.

Muss ich denn jetzt noch etwas beachten oder berücksichtigen? Oder ist es sinnvoll das Zertifikat für Mail und Apache definitiv zu trennen?!

Gruß, Domi

 

[d4f]

Du kannst das gleiche Zertifikat fuer beide nehmen.

Allerdings kannst du dir auch die "Mühe" machen und von startssl.com ein kostenfreies SSL-Zertifikat beantragen wenn es eine öffentliche Domain ist =) (Zumindest Thunderbird und Android kennen es aber so oder so nicht als valide an)

 

[dante]

/OT Das sicherste Zertifikat ist immernoch das heimisch erstellte

 

[d4f]

Nur wenn du alle anderen Zertifierungsstellen aus dem Browser/Mailclient/Betriebssystem entfernst da sonst diese auch anerkannt werden und keins sicherer ist als ein anderes.

 

[Domi]

@d4f, Du meinst das kleine Domain-Validate Zertifikat was es für 1 Jahr kostenfrei gibt, oder? Das kenne ich schon.. Wäre eine Idee, aber so wichtig ist es dann nicht

Ist ja bei Apache nur für postfixAdmin und am Email-Server ist es ja primär für Thunderbird gedacht.

 

[d4f]

Ja genau. Allerdings bleibt es nach dem Jahr kostenlos, SSL-Zertifikate muessen nur periodisch ersetzt werden. Class-2 Zertifikate (kostenpflichtige Validierung) sind 2 Jahre gueltig.