TLS-Zertifikat von CAcert.org: Account bei CAcert notwendig?

T

testit

Well-Known Member
Hallo,

ich möchte gerne für die Nutzung von postfix TLS ermöglichen.

Aufgrund folgenden Hinweises zu Warnmeldungen bei EMailClients, der hier zu finden ist, ist wohl besser ein Zertifikat durch eine externe CA wie CAcert.org signieren zu lassen:

Um TLS nutzen zu können benötigen sie zuerst ein Zertifikat. Außerdem müssen sie sich entscheiden, ob sie dieses Zertifikat durch eine externe CA signieren lassen, oder eine eigene CA verwenden. Für interne Zwecke ist eine eigene CA praktisch, aber wenn sie einen öffentlichen Mailserver für verschiedene Kunden betreiben, ist es besser ein von einer anerkannten CA signiertes Zertifikat zu verwenden, damit die Clients keine unnötigen Warnmeldungen bekommen.
Zum Vergrößern anklicken....

In einem How-to habe ich nun wiederum den Hinweis gefunden, dass man einen Account bei CAcert.org besitzen muss, um sich ein Zertifikat signieren zu lassen:

"Bevor wir dieses Howto durcharbeiten können, benötigen wir einen entsprechenden CAcert-Account und müssen zur Erstellung von Serverzertifikaten mindestens 50 Punkte vorweisen (Punktesystem siehe Website von CAcert)."
Zum Vergrößern anklicken....

Anderweitig habe ich einen derartigen Hinweis allerdings nicht finden können.

Kann mich bitte jd. von Euch in diesem Punkt aufklären?

Im Rootforum wiederum wird folgende Vorgehensweise empfohlen:

mkdir -p /etc/postfix/ssl
cd /etc/postfix/ssl
/etc/ssl/misc/CA.pl -newca
#/usr/share/ssl/misc/CA.pl -newca
openssl req -new -nodes -keyout server-key.pem -out server-req.pem - days 365
openssl ca -out server-crt.pem -infiles server-req.pem
openssl gendh -out /etc/postfix/ssl/dh_1024.pem -2 -rand /dev/urandom 1024
openssl gendh -out /etc/postfix/ssl/dh_512.pem -2 -rand /dev/urandom 512
chmod 644 /etc/postfix/ssl/server-crt.pem /etc/postfix/ssl/demoCA/cacert.pem
chmod 400 /etc/postfix/ssl/server-key.pem
Zum Vergrößern anklicken....

Aber das bringt mir vermutlich ja nicht die Signierung durch CAcert, die ich benötige (möglicherweise sogar hierzu erst einen Account bei CAcert.org anlegen muss)?

Oder sehe ich das falsch?

Danke im voraus!

Freundliche Grüße
testit
 
Du kannst den Schlüssel auch selbst zertifizieren, dann moppern halt nur deine Programme rum, daß es gefährlich ist, da die Zertifizierungsstelle unbekannt ist.
Sind das aber alles nur interne Mitarbeiter und nicht Greti und Pleti, die da Mails bei Dir handeln sollen, ist das kein weiteres Problem. Die Sicherheitsmaßnahmen deines Ladens mal außen vor gelassen.
 
ich weiss zwar nicht, wie es bei Postfix ist, aber bei Sendmail und Dovecot kann man dafür jedes normale SSL-Zertifikat nehmen (also das auch für Apache geeignet ist).

ich habe dafür in letzter Zeit immer PositiveSSL von Comodo genommen weil die sehr günstig sind (bei US-Resellern schon für unter 10$ pro Jahr).
 
Die Vorgehensweise aus dem RootForum erzeugt ein selbst signiertes Zertifikat. Importierst Du dieses (natürlich nur den öffentlichen Teil) in einem Mailclient, bleibt die Warnmeldung dann aus. Selbiges gilt auch für Cacert-Zertifikate - das Cacert-Rootzertifikat ist i.d.R. nicht in Browsern und Mailclients vorinstalliert.

Um ein Zertifikat zu erstellen, gilt normalerweise folgender Ablauf:
  1. Schlüssel erzeugen (zu Hause, z. B. mit openssl genrsa)
  2. Certificate Signature Request (CSR) erstellen (auch zu Hause, z. B. mit openssl req --new)
  3. CSR signieren (mit eigenem CA-Zertifikat) oder signieren lassen => das ist dann das Zertifikat
Nur bei Schritt 3 kann Cacert überhaupt genutzt werden, und ja, dazu benötigt man dort einen (kostenlosen) Account. Punkte benötigt man keine, so lange als einzige validierte Information die Domain (auch Subdomains) in das Zertifikat eingebunden werden sollen. Wenn Dein Name mit im Zertifikat erscheinen soll, benötigst Du Punkte. Diese werden von sogenannten Assurern vergeben, nachdem diese Dich anhand amtlicher Lichtbildausweise identifiziert haben. Assurer findet man bei Cacert auf der Website, in der CCC-Zentrale, auf der CeBit und überall dort, wo sich überproportional viele Geeks aufhalten...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben