SSL Zertifikat für Mailserver

D

Domi

Member
Hallo Leute, ich habe mal eine kleine Frage bezüglich SSL Zertifikate für Mailserver (Postfix + Dovecot) :)

Ich habe privat einen vServer mit diesen beiden Diensten und habe hier gesehen, dass es ein RapidSSL Zertifikat gibt was gerade mal 9 Euro pro Jahr kostet oder für drei Jahre 22 Euro kostet. Klar, es gibt bei StartSSL auch kostenfreie Zertifikate, aber bei 9 Euro pro Jahr bin ich auch bereit so etwas zu bezahlen.

Bei einem Apache muss man ja den Private Key, das Zertifikat und ein Intermidiate(?) einbinden. Muss man bei einem Mailserver so etwas auch einbinden? Ich kenne bei Dovecot und Postfix nur die Einträge für das Key und für das Cert File, reicht das völlig aus? Ich bin da nämlich ein wenig verwirrt und wollte vorher einmal nachfragen :o

Gruß, Domi
 
Hi, Zertifikate werden seid 2 Jahren alle mit Zwischenzertifikaten ausgeliefert. Da reicht es nicht einfach nur das Zertifikat einzubinden. Im Postfix geht man folgendermaßen vor:

In die Datei /etc/postfix/main.cf folgende Zeilen einfügen:
smtpd_tls_cert_file = /some/path/yourdomain.crt
smtpd_tls_key_file = /some/path/yourdomain.key
smtpd_tls_CAfile = /some/path/ca-bundle (bundle file)

Letztere Datei dabei enthält die Zwischenzertifikate genau wie beim Apache

smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache


Dann muss nurnoch die master.cf geändert werden und dabei folgendes eintragen:
ssmtp inet n – n – – smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes

Dienst neustarten und smtps läuft
 
Ahhh.. Genau das hatte ich gesucht. Wobei ich darauf auch selbst hätte kommen können :o In meiner VirtualHost habe ich gerade einmal nachgeschaut, da stehen sie auch drin.
Code: 
SSLEngine on
SSLCertificateKeyFile /srv/vhosts/keys/domain.de.key
SSLCertificateFile /srv/vhosts/keys/domain.de.crt
SSLCertificateChainFile /srv/vhosts/keys/intermediate.crt

Ich hatte mich bei regfish durch den Namen intermediate verwirren lassen. Aber dann ist das ja geklärt.. bei Dovecot und Postfix einfach die Key und Cert File eintragen und zusätzlich noch das CA einbauen und alles ist geklärt.

Das sollte nicht so schwer sein :)
Gruß, Domi
 
Also, ich seh ja immer wieder das nach SSL Zertifikaten gefragt wird und so weiter, aber wieso ihr den diversen Firmen das Geld hinter her schmeisst wird und bleibt mir ein Rätzsel.

Versucht es doch einfach mal bei http://CaCert.org, sich da ein bißchen angagieren und schwupps könnt ihr eure eigenen Server Zertifikate austellen.

gruss,
delta544
 
delta544 said:
Versucht es doch einfach mal bei http://CaCert.org, sich da ein bißchen angagieren und schwupps könnt ihr eure eigenen Server Zertifikate austellen.
Click to expand...
Könntest Du mir das System ein bisschen genauer erklären, was heißt denn "ein Bisschen engagieren"??

Ich habe ja root und vServer im privat und beruflichen Bereich.. und wenn ich dort mal das eine oder andere Zertifikat besorgen und einsparen könnte, wären die Chefs bestimmt glücklich :)
 
Das Prinzip ist eigentlich ganz einfach, im groben und ganzen basiert CaCert darauf, das die 'Teilnehmer' sich gegenseitig verifizieren und damit Punkte sammeln. Das heisst, jeder User wurde von einem Assurer (Prüfer) überprüft und zwar persönlich und mittels Lichtbildausweiss.

Jeder Kritiker wird jetzt sagen: Das is aber nicht sicher, die Leute haben keine Ausbildung bla, bla. Ja und?, dieses Wissen, wie man eine ID anhand der Sicherheitsmerkmale überprüft kann jeder googeln, dafür brauchts kein Beamtenstatus. Und Kredikartendaten kann man im 100´er Paket kaufen, ist das jetzt sicherer? Denn die Kommerziellen Anbieter machen doch in aller Regel gar keine persönliche Überprüfung und wollen nur Kohle sehen.

Ich hab hier in der näheren Umgebung eine Firma, die haben sämtliche Server und E-Mailzertifikate auf CaCert umgestellt und fahren da bestens mit.

Nachzulesen sind die Details hier:http://wiki.cacert.org/FaqDraftDe

gruss,
delta544
 
delta544 said:
Also, ich seh ja immer wieder das nach SSL Zertifikaten gefragt wird und so weiter, aber wieso ihr den diversen Firmen das Geld hinter her schmeisst wird und bleibt mir ein Rätzsel.
Click to expand...

Evtl. weil die Betriebssysteme/Software andere Root Zertifikate von Haus aus unterstützen und dann keine Warnung oder sonst was kommt..
 
CaCert, Web-of-trust und alle anderen haben einen Logikfehler:
Es ist möglich, unter Kooperation von ein paar anderen Helfern, sich für jemand Anders auszugeben. Dass nachher rückverfolgbar war WER das getan hat ist irrelevant - der Schaden ist angerichtet.

Denn die Kommerziellen Anbieter machen doch in aller Regel gar keine persönliche Überprüfung und wollen nur Kohle sehen.
Click to expand...
StartSSL Class2 Verification (also die kommerzielle) zumindest teilweise schon. Die rufen auf der im Telefonbuch hinterlegten und mit den angegebenen Personaldaten übereinstimmende Festnetznummer an und lassen sich bestätigen dass man die entsprechende Person ist.


Ich hab hier in der näheren Umgebung eine Firma, die haben sämtliche Server und E-Mailzertifikate auf CaCert umgestellt und fahren da bestens mit.
Click to expand...
Solange niemand von aussen drauf verbinden will... CaCERT ist alles Andere als generell unterstützt.
 
Diese generell unterstützte Geschichte ist ja das was mir wichtig ist.. Wenn ein Besucher auf die Seite (HTTPs) oder auf den Mailserver (IMAP, POP3, SMTP) zugreift, soll er nicht erst bestätigen ob er dem Zertifikat vertraut.

Hoffe das war jetzt richtig.. denn, selbst ein Zertifikat erstellen kann ich ja auch. Unter Debian kann man auch ganz einfach das "snakeoil" verwenden, aber auch so etwas ist ja kein Verifiziertes Zertifikat.. und sobald man dann zu meinem Server verbindet, kommt ja der Hinweis mit dem akzeptieren.. was ich ja verhindern möchte :D

Gruß, Domi

p.s. Um selbst so etwas zu verifizieren muss man bestimmt Mitarbeiter von GeoTrust etc. zu sein, oder? Ist aber nur eine Interessen Frage :D
 
d4f said:
StartSSL Class2 Verification (also die kommerzielle) zumindest teilweise schon. Die rufen auf der im Telefonbuch hinterlegten und mit den angegebenen Personaldaten übereinstimmende Festnetznummer an und lassen sich bestätigen dass man die entsprechende Person ist.
Click to expand...

Das ist ja eh vom CAB Forum beschlossene Sache. Jede Zertifizierungsstelle die Organisationsvalidierte Zertifikate ausstellt muss sich daran halten und den Zertifikatsinhaber über die im öffentlichen Register hinterlegte Rufnummer anrufen und sich den Auftrag bestätigen lassen.

Bei Domainvalidierten Zertifikaten wo eh nur die Domain im Zertifikat steht reicht auch weiterhin die Bestätigung per Mail.
 
You must log in or register to reply here.
Back
Top