Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Basisuitleg SSL gevraagd
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index Dutch
View previous topic :: View next topic  
Author Message
Frans
n00b
n00b


Joined: 27 Nov 2003
Posts: 13

PostPosted: Thu Nov 27, 2003 1:03 pm    Post subject: Basisuitleg SSL gevraagd Reply with quote

<offtopic>
Mijn eerste post, dus maar even voorstellen... Ik heb net een week geleden Gentoo ontdekt.... WOW! Ik was opzoek naar een distributie die de laatste hardware ondersteund 'out-of-the-box', ivm een Gb NIC.
Ik zal debian nog wel even trouw blijven, maar ik ben onder de indruk van Gentoo.
</offtopic>

Ik ben bezig met de installatie van een mailserver voor virtual hosts. Ik doe dit aan de hand van de fantastische uitleg van Ken Nowack en Ezra Gorman.

Ik gebruik apache 1.3.29, mod_ssl en Squirrellmail als webmail appl. Ik gebruik SSL ook voor de auth op de smtpd.

Alles werkt, en is up and running, fantastisch.

Ik heb weinig tot geen ervaring met ssl, en heb de certificaten gegenereerd volgens de howto, terwijl ik eigenlijk geen idee heb wat ik aan het doen ben.

Nu wil ik de certificaten laten signen door Geotrust. (Hollander als ik ben, wil ik dat doen via http://www.ev1servers.net $50!). Zodat ik af kom van alle waarschuwing popupjes.


Wat ik begrijp van SSL is dat je 1 certificaat kan hebben per ip. das mooi, ik gebruik mail.domain.nl voor zowel smtp, imap, pop3 als voor https. En precies hier raak ik de weg kwijt. Volgens de howto genereer ik 2 certificaten, terwijl de bedoeling is dat ik er maar 1 heb.

Wie kan mij uitleggen wat ik moet doen om 1 certificaat te kunnen gebruiken? Kan dat eigenlijk wel met de Geotrust certificaten (werken die ook op mailservers?)

Waarom heb ik volgens de howto voor postfix 3 files nodig en voor apache maar 2?
Code:
smtpd_tls_key_file = /etc/postfix/newreq.pem
smtpd_tls_cert_file = /etc/postfix/newcert.pem
smtpd_tls_CAfile = /etc/postfix/cacert.pem

Code:
SSLCertificateFile /etc/apache/conf/ssl/new.cert.cert
SSLCertificateKeyFile /etc/apache/conf/ssl/new.cert.key

Wat is die CA file in postfix?

Met andere woorden, ik snap er weinig van en zit een beetje howto's te volgen... leuk, maar de bedoeling is dat dit ooit een production box wordt... zou beter zijn dat ik het dan ook begrijp.
Back to top
View user's profile Send private message
khelb
n00b
n00b


Joined: 04 Mar 2003
Posts: 24
Location: Rumst, Belgium

PostPosted: Thu Nov 27, 2003 8:25 pm    Post subject: Reply with quote

De CA is de basis authoriteit waarop alle beveiliging gebaseerd is, je genereert een sleutelpaar en cert dat als RootCA zal dienen, hiermee worden alle algeleide cert en sleutels genereerd en getekend.

Als je Geotrust kiest, zal deze voor jou een RootCA (=sleutels + cert aanmaken), meestal is dit een pkcs12 (sleutelpaar) en een certificaat (X509). Nu zou je deze moeten importeren ipv het commando
Code:
./CA.pl -newca

ik bedoel hiermee dat de bestanden die aangemaakt worden door bovenstaand commando moet vervangen door de bestanden die je van GeoTrust zal krijgen, mits aanpassing: openssl werkt met PEM bestanden terwijl meestal commerciele CA's werken met DER encoded bestanden.

Als dit gelukt is kan je verder gaan om je server certs te genereren.

Maar normaal zou Geotrust ook de nodige certs en sleutels voor je servers kunnen aanmaken, dan moet je je server laten verwijzen naar de nieuwe bestanden, weeral mits aanpassing aangezien deze servertoepassingen ook eerder PEM bestanden aanvaarden dan de DER encoded.

Hopelijk is dit een beetje duidelijk, maar ik vrees dat enerzijds PKI zich niet uitlegt in enkele lijnen en anderzijds is het al een tijdje geleden dat ik dit alles nog eens gedaan heb.

PS: wat die popups betreft, zijn die niet opgelost als je het server cert (enz ev. CA cert) eenmaal vertrouwd?
_________________
De linguis non disputandum est
Back to top
View user's profile Send private message
Frans
n00b
n00b


Joined: 27 Nov 2003
Posts: 13

PostPosted: Fri Nov 28, 2003 4:24 pm    Post subject: Reply with quote

Bedankt voor je antwoord.

Toch snap ik niet waarom apache een sleutel en een cert nodig heeft en postfix een sleutel, een cert en een CA. Dat is toch onlogisch?

Ook snap ik niet hoe ik ooit zowel apache als postfix op hetzelfde cert+sleutel laat draaien, omdat ik er kennelijk 1 te weinig heb voor postfix.

Natuurlijk kan ik wel de key opslaan op mijn desktop. Geen probleem, alleen is het een beetje onhandig en onprofessioneel als ik tegen klanten ooit moet zeggen, ja dat veiligheids popupje hoort er bij... sorry hoor.
Back to top
View user's profile Send private message
[dmnd]
n00b
n00b


Joined: 02 Nov 2003
Posts: 48
Location: Netherlands

PostPosted: Tue Dec 23, 2003 11:49 am    Post subject: Reply with quote

Frans wrote:
Bedankt voor je antwoord.

Toch snap ik niet waarom apache een sleutel en een cert nodig heeft en postfix een sleutel, een cert en een CA. Dat is toch onlogisch?

Ook snap ik niet hoe ik ooit zowel apache als postfix op hetzelfde cert+sleutel laat draaien, omdat ik er kennelijk 1 te weinig heb voor postfix.

Natuurlijk kan ik wel de key opslaan op mijn desktop. Geen probleem, alleen is het een beetje onhandig en onprofessioneel als ik tegen klanten ooit moet zeggen, ja dat veiligheids popupje hoort er bij... sorry hoor.


Je browser heeft standaard al een aantal CA's in zich opgenomen die jij vertrouwt (dat klinkt erg raar maar dat heeft m$ voor je besloten en krijgen ze ongetwijfeld een aantal centjes voor ;-))

Bij apache dien jij bij een eigen CA trouwens wel het CA certificaat op te geven omdat anders de certificate chain niet meer klopt.

Wouter
Back to top
View user's profile Send private message
khelb
n00b
n00b


Joined: 04 Mar 2003
Posts: 24
Location: Rumst, Belgium

PostPosted: Tue Dec 23, 2003 3:51 pm    Post subject: Reply with quote

Hello,

hier heb je enige links naar informatie ivm SSL en cryptograpfie in het algemeen... Hopelijk ben je er iets mee.

Introduction to SSL
Set up your own Certification Authority using free software
Cryptography FAQ

C+++
_________________
De linguis non disputandum est
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Dutch All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum