SSL-Server-Zertifikat und private key trennen? (was: [Courier-SSL] Zertifikat und Key trennen)
Von: Paul Muster (exp-311208@news.muster.dyndns.info) [Profil]
Datum: 29.06.2008 18:16
Message-ID: <a4pkj5-des.ln1@news.muster.dyndns.info>
Followup-to: de.comp.security.misc
Newsgroup: de.comp.security.misc de.comm.software.mailserver
Datum: 29.06.2008 18:16
Message-ID: <a4pkj5-des.ln1@news.muster.dyndns.info>
Followup-to: de.comp.security.misc
Newsgroup: de.comp.security.misc de.comm.software.mailserver
Hallo, es geht darum, ob man SSL/TLS-Server-Zertifikat und den zugehörigen private key in eine Datei packen kann/soll und welche Software damit (korrekt) umgehen kann. Juergen P. Meier wrote: > Paul Muster <exp-311208@news.muster.dyndns.info>: >> Hm, das heisst, ich könnte bspw. Apache auch als >> >> SSLCertificateFile >> SSLCertificateKeyFile >> >> dieselbe Datei füttern, die sowohl private key als auch Zertifikat > > Ja, natuerlich. Steht ja auch so in der Dokumentation. Ok. Bei Apache steht das tatsächlich ausdrücklich da. Bei OpenLDAP steht dagegen ebenso ausdrücklich, dass zwei Dateien verwendet werden sollen/müssen: http://www.openldap.org/doc/admin24/tls.html | 15.2.1.3. TLSCertificateFile <filename> | | This directive specifies the file that contains the slapd server | certificate. Certificates are generally public information and | require no special protection. | | 15.2.1.4. TLSCertificateKeyFile <filename> | | This directive specifies the file that contains the private key that | matches the certificate stored in the TLSCertificateFile file. Auch diverse andere Programme schlagen dies vor und in der Doku steht nicht ausdrücklich, dass man private key und Zertifikat in dieselbe Datei packen kann und diese dann angeben soll. >> enthält? Weiß der Apache dann, was er tun muss, damit nicht der private >> key rausgeschickt wird? > Dafuer sorgen die OpenSSL Bibliotheken. Er schicke ja nicht die Datei > raus, sondern den Public-Key, den er sich aus der Datei vorher holt. > Die Datei ist ja nur ein Container. Ist das - für "alle" Software - so sicher, dass man sich darauf verlassen kann? Courier-IMAP, OpenLDAP (mMn negativ bestätigt, s.o.), Apache(positiv bestätigt), Exim4(positiv bestätigt[1]) ... aus Debian Etch. Danke & mfG Paul [1] http://www.exim.org/exim-html-4.50/doc/html/spec_38.html#SECT38.5 | To make this work you need to set, in the server, | | tls_certificate = /some/file/name | tls_privatekey = /some/file/name | | The first file contains the server's X509 certificate, and the second | contains the private key that goes with it. These files need to be | readable by the Exim user, and must always be given as full path names. | They can be the same file if both the certificate and the key are | contained within it. If tls_privatekey is not set, this is assumed to | be the case. The certificate file may also contain intermediate | certificates that need to be sent to the client to enable it to | authenticate the server's certificate. In Debian findet sich das dann wieder als "MAIN_TLS_CERTKEY".[ Auf dieses Posting antworten ]
Antworten
- Richard W. Könning (30.06.2008 00:43)
- Juergen P. Meier (30.06.2008 05:41)
- Richard W. Könning (30.06.2008 17:54)