Pro Dienst, eine Zertifikatsdatei?

Serverdienste ohne eigene Kategorie
PowerFox
Posts: 1
Joined: 2016-09-30 12:55

Pro Dienst, eine Zertifikatsdatei?

Post by PowerFox »

Hallo Gemeinschaft,

ich betreibe zu Testzwecken einen Debian 8 Server mit Apache, Postfix, Dovecot und ProFTPd
und verwende Let's Encrypt Zertifikate für SSL. Ich habe mir ein Zertifikat für www.meinedomain.de, meinedomain.de, ftp.meinedomain.de, mail.meinedomain.de ausstellen lassen.

Folgende Dateien liegen nun unter /etc/letsencrypt/live/meinedomain.de
cert.pem
chain.pem
privkey.pem

Mich würde jetzt interessieren welches der bessere Weg ist:
A) Ich binde die drei Dateien in die Konfiguration von den o.g. Diensten ein, sprich alle Dienste greifen auf die selben Zertifikatsdateien zu.
B) Ich kopiere die Dateien und benenne diese entsprechend für jeden Dienst um. (ftp.crt, ftp.key, ca.crt, mail.crt, mail.key)

Meine Freunde meinten Option B ist besser, was meint ihr? Kann es zu Problemen kommen, wenn alle Dienste auf die selben Dateien zugreifen?

Danke bereits und Viele Grüße

PowerFox

User avatar
Joe User
Project Manager
Project Manager
Posts: 11137
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Pro Dienst, eine Zertifikatsdatei?

Post by Joe User »

Option C würde ich nehmen: Ein einzelnes eigenes Zertifikat pro Subdomain

Wenn nur A oder B in Frage kommen, dann A, denn B vergisst man irgendwann mal...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
rudelgurke
Posts: 405
Joined: 2008-03-12 05:36

Re: Pro Dienst, eine Zertifikatsdatei?

Post by rudelgurke »

Option D geht auch noch, ein SAN Zertifikat und alle Subdomains in einen CSR rein, den dann Letsencrypt vorwerfen. Vorsicht nur, Letsencrypt prüft alle im SAN Zertifikat aufgeführten Namen.
Der Nachteil mag sein dass wenn, aus welchen Gründen auch immer, ein Host kompromittiert wird ist immer alles betroffen.