SSL Zertifikate, mehrere Fragen

[giga]

Ich habe 2 Server. Auf beiden möchte ich verschiedene Dienste mit SSL verschlüsseln:

Server 1)
- STARTTLS für Exim
- stunnel tunnel

Server 2)
- StartTLS für Exim
- https für Apache

so, hab jetzt mich ein bisschen rumgelesen, bin aber nicht schlauer. VeriSign, etc. sind mir natürlich zu teuer. Also bräuchte ich ja für beide Server ein selbst ausgestelltes Zertifikat. Ich hab bis jetzt folgendes Howto gefunden:

http://www.pseudonym.org/ssl/ssl_server_certs.html

Meine Frage lautet jetzt eigentlich nur ob es das ist was ich suche oder ob es einen besseren Weg zu einem self signed Certificate gibt...

[cybermage]

ich umreiße mal schnell wie ich das für meinen server geregelt hab. aber nur ganz kurz ... dann muss ich nämlich ins kino ;)

zuerst erstellen wir uns eine CA ... das was sonst verisign etc. ist.
das geht am einfachsten folgendermaßen

Code: Select all

cd /usr/lib/ssl
misc/CA.pl -newca

der pfad kann auch variieren ... /usr/local/ssl ist nich ungewöhnlich.
du hast nun ein neues verzeichniss dass sich da nennt demoCA/ und in dem alle files der neuen CA liegen.

nun erstellst du ein neues zertifikat und bittest gleichzeitig um eine unterschrift:

Code: Select all

openssl req -new -nodes -keyout mailkey.pem -out mailreq.pem -days 365

-node beweirkt, dass kein passwort zum ver-/entschlüsseln benötigt wird. dies müsstest du sonst beim starten des server angeben.

nun das neue zertifikat mit der eigenen CA unterschreiben:

Code: Select all

openssl ca -out mail_signed_cert.pem -infiles mailreq.pem

und fertig.
mailkey.pem is der geheime schlüssel des mailservers
mail_signed_cert.pem ist der öffentliche
und unter demoCA/cacert.pem findest den öffentlichen schlüssel deiner CA.
du musst nun nur noch die datei cacert.pem in deinem jeweiligen mailprogramm als CA (Stammzertifizierungsstelle) eintragen und das wars.
mit der CA lassen sich natürlich auch beliebige andere dienste unterschreiben.

ich hab das zB gemacht bei postfix, courier-pop, courier-imap, apache und pure-ftpd.

ich hoff das war irgendwie verständlich ... das war die zusammenfassung einer nachtschicht in der ich mir openssl von null auf ein ganz erträgliches maß beigebracht hab :)

ich bin erstmal im kino ;)

[giga]

Danke für die Hilfe!

Eine Frage habe ich noch. Muss oder kann ich denn jetzt das Zertifikat für Rechner 1) für mehrere Dienste oder nur einen benutzen?

Oh, doch noch eine Frage. Die Zertifikate werden ja bei openssl anscheinend auch nochmal in eine interne Datenbank oder so eingetragen. Kann ich da auch Zertifikate die ich nicht mehr will löschen? Wenn ja wie/wo?

[captaincrunch]

Muss oder kann ich denn jetzt das Zertifikat für Rechner 1) für mehrere Dienste oder nur einen benutzen?

Je nachdem, in welcher Form die Applikation den Key erwartet. Im Normalfall ist das ganze aber ziemlich interoperabel.

Die Zertifikate werden ja bei openssl anscheinend auch nochmal in eine interne Datenbank oder so eingetragen. Kann ich da auch Zertifikate die ich nicht mehr will löschen? Wenn ja wie/wo?

OpenSSL legt die Informationen über die Keys in einem Flatfile ab, wo du sie recht komfortabel löschen kannst.

Weiterführende Doku:
http://www.openssl.org/docs/HOWTO/certificates.txt
http://www.openssl.org/docs/HOWTO/keys.txt
http://mia.ece.uic.edu/~papers/volans/settingupCA.html
http://www.onlamp.com/pub/a/bsd/2002/04/04/ipsec.html
...und noch eine Menge weiterer, deren URLs ich anscheinend gerade verschlampt habe. :oops:

[cybermage]

Eine Frage habe ich noch. Muss oder kann ich denn jetzt das Zertifikat für Rechner 1) für mehrere Dienste oder nur einen benutzen?

das geht ohne weiteres ... nur da ich für meine dienste verschiedene subdomains verwende hab ich eben jeweils eins für
http://www.domain.tld
mail1.domain.tld
ftp1.domain.tld

[giga]

Danke für die sehr hilfreichen Antworten!

Eins will mir noch nicht in den Sinn. Muss ich bei "YOUR Name" jetzt z.B. host.domain.tld eintragen oder würde es auch mit der IP funktionieren?

[magic]

Hallo!!

Ich habe nun eine Frage zu stunnel. Nach der kurz Anleitung von Cybermage bekomme ich die Zerts für SSL und SMTP hin, aber für POP3 über stunnel bekomme ich dies nicht!! :( Ein selbst signiertes POP3-Cert bekomme ich hin, aber dies ist dann nicht von meinm CA signiert.....
Wie mache ich dies nun bei POP3 über stunnel?? (habe es schon mit den faq auf stunnel.org und openssl.org probiert....)

Frohe Ostern!!
Gruß
Maik

[audio07]

Mit stunnel und smtp wäre ich sehr vorsichtig! Damit legst du dir unter Umständen ein richtig dickes Ei ins Nest!
Problem ist: Die Verbindung geht in den stunnel rein und wird dort decodiert. Dabei geht die Ursprungs-IP-Adresse verloren. D.h. dein MTA sieht im Endeffekt die IP-Adresse deines stunnel und wenn dieser auf dem lokalen Rechner läuft, dann ist dies localhost! In der Regel ist localhost als "trusted" in der MTA-Config im Bezug auf Relaying eingetragen. Das führt dazu, dass du ein Open-Relay betreibst auf smtps!
Zumindest diese SSL-Implementierung sollte man aus diesem Grund auch direkt im MTA anlegen. Bei IMAP und POP3 kann man mit der localhost-Geschichte leben.
Ich habe mir allerdings sagen lassen, dass diese localhost-Geschichte bei der Benutzung von sslwrap (alternativ zu stunnel) nicht auftritt. Selbst getestet habe ich diesen allerdings noch nicht.

[magic]

Danke für den Hinweis mit stunnel und smtp!! Aber ich hatte nicht vor diese Kombination zu machen :) smtp mache ich über TLS ( oder war es TSL - kann es mir nicht merken...) SASL direkt über meinen MTA (Postfix)
stunnel benutzte ich nur in Verbindung mit POP3

Gruß
Maik