{"id":1023,"date":"2009-10-21T22:00:44","date_gmt":"2009-10-21T21:00:44","guid":{"rendered":"http:\/\/my.stargazer.at\/?p=1023"},"modified":"2009-10-21T21:02:45","modified_gmt":"2009-10-21T20:02:45","slug":"now-with-new-certificates","status":"publish","type":"post","link":"https:\/\/my.stargazer.at\/de\/2009\/10\/21\/now-with-new-certificates\/","title":{"rendered":"Jetzt mal mit neuen Zertifikaten"},"content":{"rendered":"

Es ist ja nichts Neues, dass man seine Daten – wenn man sie quer durch das Internet schickt sch\u00fctzen sollte. Dies geschieht meist durch Server-Zertifikate, welche man im Normalfall einmal erstellt und nie wieder angreift, sofern man sie selbst signiert. In meinem Fall habe ich jedoch beschlossen, N\u00e4gel mit K\u00f6pfen zu machen und mir ein Zertifikat von geholt, um zumindest etwas sicherer zu arbeiten. Au\u00dferdem ist es eine gute \u00dcbung um einmal auf andere Zertifikate umzusteigen.<\/p>\n

Die \u00dcbung ist eigentlich immer das Selbe, nur mit dem Unterschied, dass wir das Zertifikat nicht selbst signieren. Es beginnt mit dem Certificate Request:<\/p>\n

openssl req -nodes -new -keyout server.key -out server.csr<\/p><\/blockquote>\n

Dieser Request, im server.csr File enthalten geht nun an CACert, wo er bearbeitet wird. Diesen einzubauen ist ja nicht das Thema, so lange man das Root-Zertifikat zur Verifikation in seinem Speicher sitzen hat. Hat man es nicht, kann man es leicht nachinstallieren:<\/p>\n

wget -nv https:\/\/www.cacert.org\/certs\/root.crt -O \/etc\/ssl\/certs\/CAcert.org_Root_Certificate.pem<\/p><\/blockquote>\n

Danach sollte der Rest eigentlich ziemlich einfach von der Hand gehen und man kann sein Zertifikat getrost einbinden. Hier ein Beispiel f\u00fcr Postfix:<\/p>\n

# TLS PART START
\nsmtp_tls_CAfile = \/etc\/postfix\/tls\/root.crt
\nsmtp_tls_cert_file = \/etc\/postfix\/tls\/server.pem
\nsmtp_tls_key_file = \/etc\/postfix\/tls\/key.pem
\nsmtp_tls_session_cache_database = btree:$data_directory\/smtp_tls_session_cache
\nsmtp_use_tls = yes<\/p>\n

smtpd_tls_CAfile = \/etc\/postfix\/tls\/root.crt
\nsmtpd_tls_cert_file = \/etc\/postfix\/tls\/server.pem
\nsmtpd_tls_key_file = \/etc\/postfix\/tls\/key.pem
\nsmtpd_tls_session_cache_database = btree:$data_directory\/smtpd_tls_session_cache
\nsmtpd_use_tls = yes<\/p>\n

smtpd_tls_received_header = yes
\nsmtpd_tls_ask_ccert = yes
\nsmtpd_tls_loglevel = 1<\/p>\n

tls_random_source = dev:\/dev\/urandom
\n# TLS PART END<\/p><\/blockquote>\n

Nach dem obligatorischen Reload, kann man zum Test schreiten, welchen mein System hier mit Erfolg bestanden hat. Der Rest ist reine Routine und wird sich dann mit dem n\u00e4chsten Zertifikat \u00e4hnlich abspielen. Aber bis dahin bleibt mir nichts Anderes mehr \u00fcbrig als meinen Daten eine sichere Reise zu w\u00fcnschen.
\n<\/p>","protected":false},"excerpt":{"rendered":"

Es ist ja nichts Neues, dass man seine Daten – wenn man sie quer durch das Internet schickt sch\u00fctzen sollte. Dies geschieht meist durch Server-Zertifikate, welche man im Normalfall einmal erstellt und nie wieder angreift, sofern man sie selbst signiert. In meinem Fall habe ich jedoch beschlossen, N\u00e4gel mit K\u00f6pfen zu machen und mir ein Zertifikat von geholt, […]<\/p>\n","protected":false},"author":7,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[43,170,163],"class_list":["post-1023","post","type-post","status-publish","format-standard","hentry","category-it-related-stuff","tag-mail","tag-security","tag-server"],"_links":{"self":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/1023","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/comments?post=1023"}],"version-history":[{"count":0,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/posts\/1023\/revisions"}],"wp:attachment":[{"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/media?parent=1023"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/categories?post=1023"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/my.stargazer.at\/de\/wp-json\/wp\/v2\/tags?post=1023"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}