Hallo Sandy, dein Quälgeist aus Wien ist schon wieder hier ;-) Am Donnerstag, 19. April 2007 16:37 schrieb Sandy Drobic:
Heinz Mezera wrote: <...>
Was geprüft wird bei einer Verbindung ist der "Common Name" (cn=...) Dieser muss übereinstimmen mit dem Namen, über den der Server erreicht wird. Wenn im DNS also der Mailserver als mail.example.com eingetragen ist und über diesen Namen auch angesprochen wird, dann muss auch im Zertifikat eingetragen sein cn=mail.example.com.
Das ist der absolut wichtigste Punkt bei der Erstellung des Zertificats.
Ich hatte ja eine Ahnung, aber keine konkreten Details. Trotzdem muss ich hier nochmals nachhaken. Bedeutet das, dass ich je Dienst (Webserver, Mailserver, ...), die ja teilweise "nur" cnam Einträge im DNS sind, ein separates Zertifikat benötige?
Wenn dies über verschiedene Hostnamen läuft, dann ja. Du hast drei Möglichkeiten, dies zu realisieren:
Wildcard-Zertifikat mit *.example.com, wobei nur eine Ebene vor der Domain unterstützt wird. mail.example.com funktioniert, aber nicht mail2.sub.example.com Bei einem kommerziellen Zertifikat lassen sich die Leute ein Wildcard- Zertifikat teuer bezahlen, lohnt sich also nur bei größeren Installationen
Zusätzliche Namen ins Zertifikat nehmen. Wie es genau geht, habe ich gerade nicht mehr im Kopf. Diese Möglichkeit ist relativ neu und wird von den kommerziellen Zertifikatsdiensten wie Thawte oder Verisign nicht angeboten. Funktioniert also nur bei einer internen Struktur.
Das ist in Ordnung, da es sich <nur> um self-signed certificates handeln wird. Die Dienste dienen nur mir, meinen ehemaligen SchulkollegeInnen und Freunden. Da muss ich noch graben, um zu sehen wie man mehrere Namen in ein Zertifikat "packt" oder mehrere erstellen (was wahrscheinlich leichter ist; mich interessiert aber die Technik).
- Für jeden einzelnen Hostnamen ein entsprechendes Zertifikat erstellen bzw. kaufen.
-- Sandy
Liebe Grüße und ein schönes Wochenende aus Wien, Heinz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org