TLS-Zertifikat von CAcert.org: Account bei CAcert notwendig?

testit · 14.11.2011, 10:53

Hallo,

ich möchte gerne für die Nutzung von postfix TLS ermöglichen.

Aufgrund folgenden Hinweises zu Warnmeldungen bei EMailClients, der hier zu finden ist, ist wohl besser ein Zertifikat durch eine externe CA wie CAcert.org signieren zu lassen:

Zitat:

Um TLS nutzen zu können benötigen sie zuerst ein Zertifikat. Außerdem müssen sie sich entscheiden, ob sie dieses Zertifikat durch eine externe CA signieren lassen, oder eine eigene CA verwenden. Für interne Zwecke ist eine eigene CA praktisch, aber wenn sie einen öffentlichen Mailserver für verschiedene Kunden betreiben, ist es besser ein von einer anerkannten CA signiertes Zertifikat zu verwenden, damit die Clients keine unnötigen Warnmeldungen bekommen.

In einem How-to habe ich nun wiederum den Hinweis gefunden, dass man einen Account bei CAcert.org besitzen muss, um sich ein Zertifikat signieren zu lassen:

Zitat:

"Bevor wir dieses Howto durcharbeiten können, benötigen wir einen entsprechenden CAcert-Account und müssen zur Erstellung von Serverzertifikaten mindestens 50 Punkte vorweisen (Punktesystem siehe Website von CAcert)."

Anderweitig habe ich einen derartigen Hinweis allerdings nicht finden können.

Kann mich bitte jd. von Euch in diesem Punkt aufklären?

Im Rootforum wiederum wird folgende Vorgehensweise empfohlen:

Zitat:

mkdir -p /etc/postfix/ssl
cd /etc/postfix/ssl
/etc/ssl/misc/CA.pl -newca
#/usr/share/ssl/misc/CA.pl -newca
openssl req -new -nodes -keyout server-key.pem -out server-req.pem - days 365
openssl ca -out server-crt.pem -infiles server-req.pem
openssl gendh -out /etc/postfix/ssl/dh_1024.pem -2 -rand /dev/urandom 1024
openssl gendh -out /etc/postfix/ssl/dh_512.pem -2 -rand /dev/urandom 512
chmod 644 /etc/postfix/ssl/server-crt.pem /etc/postfix/ssl/demoCA/cacert.pem
chmod 400 /etc/postfix/ssl/server-key.pem

Aber das bringt mir vermutlich ja nicht die Signierung durch CAcert, die ich benötige (möglicherweise sogar hierzu erst einen Account bei CAcert.org anlegen muss)?

Oder sehe ich das falsch?

Danke im voraus!

Freundliche Grüße
testit

peterle · 14.11.2011, 11:33

Du kannst den Schlüssel auch selbst zertifizieren, dann moppern halt nur deine Programme rum, daß es gefährlich ist, da die Zertifizierungsstelle unbekannt ist.
Sind das aber alles nur interne Mitarbeiter und nicht Greti und Pleti, die da Mails bei Dir handeln sollen, ist das kein weiteres Problem. Die Sicherheitsmaßnahmen deines Ladens mal außen vor gelassen.

Joshua · 14.11.2011, 12:18

ich weiss zwar nicht, wie es bei Postfix ist, aber bei Sendmail und Dovecot kann man dafür jedes normale SSL-Zertifikat nehmen (also das auch für Apache geeignet ist).

ich habe dafür in letzter Zeit immer PositiveSSL von Comodo genommen weil die sehr günstig sind (bei US-Resellern schon für unter 10$ pro Jahr).

Daemotron · 14.11.2011, 12:40

Die Vorgehensweise aus dem RootForum erzeugt ein selbst signiertes Zertifikat. Importierst Du dieses (natürlich nur den öffentlichen Teil) in einem Mailclient, bleibt die Warnmeldung dann aus. Selbiges gilt auch für Cacert-Zertifikate - das Cacert-Rootzertifikat ist i.d.R. nicht in Browsern und Mailclients vorinstalliert.

Um ein Zertifikat zu erstellen, gilt normalerweise folgender Ablauf:

Schlüssel erzeugen (zu Hause, z. B. mit openssl genrsa)
Certificate Signature Request (CSR) erstellen (auch zu Hause, z. B. mit openssl req --new)
CSR signieren (mit eigenem CA-Zertifikat) oder signieren lassen => das ist dann das Zertifikat

Nur bei Schritt 3 kann Cacert überhaupt genutzt werden, und ja, dazu benötigt man dort einen (kostenlosen) Account. Punkte benötigt man keine, so lange als einzige validierte Information die Domain (auch Subdomains) in das Zertifikat eingebunden werden sollen. Wenn Dein Name mit im Zertifikat erscheinen soll, benötigst Du Punkte. Diese werden von sogenannten Assurern vergeben, nachdem diese Dich anhand amtlicher Lichtbildausweise identifiziert haben. Assurer findet man bei Cacert auf der Website, in der CCC-Zentrale, auf der CeBit und überall dort, wo sich überproportional viele Geeks aufhalten...

testit · 14.11.2011, 20:42

Herzlichen Dank für Eure Hinweise!
Sehe nun die Sache klarer!

Freundliche Grüße
testit

14.11.2011, 11:33	#2
peterle Forenkasper Registrierungsdatum: Aug 2006 Ort: Aachen Beiträge: 702	Du kannst den Schlüssel auch selbst zertifizieren, dann moppern halt nur deine Programme rum, daß es gefährlich ist, da die Zertifizierungsstelle unbekannt ist. Sind das aber alles nur interne Mitarbeiter und nicht Greti und Pleti, die da Mails bei Dir handeln sollen, ist das kein weiteres Problem. Die Sicherheitsmaßnahmen deines Ladens mal außen vor gelassen. __________________ grüße peterle --- Ich habe einen IQ unterhalb einer Kartoffel. Ich wusste nicht, dass man zum hier schreiben einen IQ oberhalb einer Kartoffel haben muss. [Jana Heinze am 20.06.2002 in dspm]

14.11.2011, 12:40	#4
Daemotron Registered User Registrierungsdatum: May 2007 Beiträge: 574	Die Vorgehensweise aus dem RootForum erzeugt ein selbst signiertes Zertifikat. Importierst Du dieses (natürlich nur den öffentlichen Teil) in einem Mailclient, bleibt die Warnmeldung dann aus. Selbiges gilt auch für Cacert-Zertifikate - das Cacert-Rootzertifikat ist i.d.R. nicht in Browsern und Mailclients vorinstalliert. Um ein Zertifikat zu erstellen, gilt normalerweise folgender Ablauf: Schlüssel erzeugen (zu Hause, z. B. mit openssl genrsa) Certificate Signature Request (CSR) erstellen (auch zu Hause, z. B. mit openssl req --new) CSR signieren (mit eigenem CA-Zertifikat) oder signieren lassen => das ist dann das Zertifikat Nur bei Schritt 3 kann Cacert überhaupt genutzt werden, und ja, dazu benötigt man dort einen (kostenlosen) Account. Punkte benötigt man keine, so lange als einzige validierte Information die Domain (auch Subdomains) in das Zertifikat eingebunden werden sollen. Wenn Dein Name mit im Zertifikat erscheinen soll, benötigst Du Punkte. Diese werden von sogenannten Assurern vergeben, nachdem diese Dich anhand amtlicher Lichtbildausweise identifiziert haben. Assurer findet man bei Cacert auf der Website, in der CCC-Zentrale, auf der CeBit und überall dort, wo sich überproportional viele Geeks aufhalten... __________________ Never argue with idiots. They’ll pull you down to their level and then beat you with experience. echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"\|dc

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken
Ansicht	Thema bewerten
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln	Thema bewerten:

Ähnliche Themen
Thema	Erstellt von	Forum	Antworten	Letzter Beitrag
FreeRadius mit TLS	CRAZyBUg	*BSD - Serverdienste	2	27.01.2005 09:06

14.11.2011, 12:18	#3
Joshua Registered User Registrierungsdatum: Aug 2003 Beiträge: 228	ich weiss zwar nicht, wie es bei Postfix ist, aber bei Sendmail und Dovecot kann man dafür jedes normale SSL-Zertifikat nehmen (also das auch für Apache geeignet ist). ich habe dafür in letzter Zeit immer PositiveSSL von Comodo genommen weil die sehr günstig sind (bei US-Resellern schon für unter 10$ pro Jahr).

14.11.2011, 20:42	#5
testit Registered User Registrierungsdatum: Aug 2005 Beiträge: 441	Herzlichen Dank für Eure Hinweise! Sehe nun die Sache klarer! Freundliche Grüße testit

Dieses Thema betrachten zurzeit 1 Personen. (0 registrierte Benutzer und 1 Gäste)