Dovecot, Root-CA mit EasyRSA?

[DonaltDack]

Guten morgen

Seit der Umstellung auf Bullseye sehe ich auf meinem Server regelmäßig Zertifikat-Fehlermeldungen im Journal nach einem Dovecot-Login von irgendwelchen Clients. Die mit Openssl erstellten Zertifikate sind noch die alten, möglicherweise sogar noch aus Stretch, sie sind hinsichtlich des Zeitraums aber noch gültig. Der Login passiert derzeit über Starttls.

Nun hatte ich mir überlegt, eine eigene Root-CA mit selbstsignierten Zertifikaten zu erstellen und dann den Login und Kommunikation auf SSL/TLS umzustellen. Leider gelingt mir das mit verschiedenen HowTo's aus dem Web überhaupt nicht, es wird immer mit Fehlern abgebrochen. Mit 3 versuchten Versionen ließ sich der Prozess jedenfalls nicht erfolgreich durchführen. Ich habe dann einfach mal EasyRSA zur Erstellung von Root-CA, Zertifkaten und dem abschließenden PKCS12-File verwendet... und siehe da, das war dann erfolgreich.

Meine eigentliche Frage ist: Ich kenne EasyRSA eigentlich bisher nur im Zusammenhang mit OpenVPN. Ist EasyRSA hinsichtlich des Ergebnisses eine qualitativ und funktional gute Alternative und man kann Root-CA und Zertifkate beruhigt auch für Dovecot verwenden?

Vielen Dank!

[eggy]

Das ist nen lesbares Script, du kannst Dir den Sourcecode ja mal ansehen. Das Ding ruft im Grunde openssl mit diversen Parametern auf. Die zusammengebauten Aufrufe kann man ja mal ausgeben lassen. Ganz grundsätzlich würde ich mal annehmen, dass das Ding vermutlich die Parameter besser setzt, als jemand der von der Materie gar keine Ahnung hat. Wieviel Mühe Du in das Verstehen der OpenSSL Parameter investieren willst, musst Du selbst wissen.

[DonaltDack]

Hallo eggy

Vielen Dank für Deine Antwort. Sorry, dass ich solange für eine Antwort gebraucht habe. Aber ich habe mich seit dem mühsam durch die Untiefen des Internets gebaggert und dabei versucht alles zu lesen, was sich irgendwie brauchbar angehört hat. Dabei war es mir egal, ob es sich auf Windows, Apple oder irgendein Linux bezogen hat - hauptsache eine Chance auf Licht ins Dunkel, egal von welcher Seite.

Das ist nen lesbares Script, du kannst Dir den Sourcecode ja mal ansehen. Das Ding ruft im Grunde openssl mit diversen Parametern auf. Die zusammengebauten Aufrufe kann man ja mal ausgeben lassen. Ganz grundsätzlich würde ich mal annehmen, dass das Ding vermutlich die Parameter besser setzt, als jemand der von der Materie gar keine Ahnung hat.

Ja, das ließ sich mit einigen Extra-Ausgaben ganz gut lesen. Zusammen mit anderen Tutorials war das dann auch irgendwie reproduzierbar.

Wieviel Mühe Du in das Verstehen der OpenSSL Parameter investieren willst, musst Du selbst wissen.

Wobei die Parameter und die Aufruf-Syntax dannn leider keine Infos zu den grundsätzlichen Zusammenhängen ernthielt.

Mit dem wesentlichen Umgang komme ich nun wohl klar, geblieben ist aber die Frage, ob meine eigenen Rückschlüsse und Interpretationen (siehe Hinweise über den Befehlen) so richtig ist. Kannst Du dazu was sagen?

1. Manuelle Erstellung einer eigenen Certificate Authority (CA), bestätigt die Echtheit der "Person"

Code: Alles auswählen

openssl req -new -x509 -newkey rsa:4096 -keyout cakey.pem -out cacert.pem -days 3650

2. Schlüssel für das Serverzertifikat erzeugen

Code: Alles auswählen

openssl genrsa -out serverkey.pem -aes256 4096

3. Certificate Signing Request erzeugen, um mittels einer digitalen Signatur aus einem öffentlichen Schlüssel ein digitales Zertifikat zu erstellen

Code: Alles auswählen

openssl req -new -key serverkey.pem -out csr.pem -nodes

4. Mit der eigenen CA (erfordert Pkt.1) das Server-Zertifikat erstellen und signieren, bestätigt die Echtheit des Servers und enthält den Public-Key

Code: Alles auswählen

openssl ca -in csr.pem -notext -out servercert.pem