Grundsatzfrage zu Zertifikaten auf dem Home-Server

[AndreasMeier]

Hallo zusammen,

ich bin gerade dabei, meinen Home-Server neu aufzusetzen, Debian Lenny ist im Einsatz.

Jetzt möchte ich diverse Dienste durch SSL absichern.

Diese Dienste wären:
1.) Apache für HTTPS
2.) Zugriff auf Mail über Postfix/Cyrus-Imap per SSL/TLS
3.) SSH-Zugang mit PublicKey-Authentification
4.) OpenVPN-Zugang
5.) FTPS

Jetzt hab ich leider nicht mehr die URL griffbereit, mit der ich Zertifikate erstellt habe.
Aber ich habe folgende Dateien :
a) my-ca.crt => CA-Zertifikat
b) webserver.crt => Zertifikat für Webserver
c) webserver.key => Privatkey für Webserver

Diese (zumindest b und c) hab ich in der Apache-Config drin.
Für 3.) hab ich keine serverseitigen Keys, sondern auf dem Client einen erstellt und zum Server übertragen (mag vielleicht schon falsch gewesen sein).

Im Moment bin ich noch an Nummer 2 => Postfix/Cyrus auf SSL/TLS umzustellen.
Für Nummer 4 => OpenVPN hatte ich mal Schlüssel erstellt und an den Client gegeben, allerdings sind die durch die OpenSSL-Lücke nicht mehr gültig.

Ich hab mehrere Clients, ist trotzdem überschaubar:
- 3 verschiedene Clients/User
- Handy (Imap-Zugriff auf Server möglich, Nokia E61i, keine Ahnung wegen Zertifikat)

Fragen, die ich jetzt erstmal grundsätzlich hab:
- Sind das alles verschiedene Zertifikate, die ich für die einzelnen Dienste brauche oder kann ich hier auf dem Server eins für alle erstellen?
- Was ist der Unterschied zwischen crt/key- (die ich oben genannt hatte) und pem/csr-Dateien?
- wie komm ich von crt/key-Dateien zu pem/csr-Dateien (Umwandlung möglich)?
- Welchen Key muss ich auf welcher Seite erstellen (Server oder Client) u. kann ihn danach an die andere Seite weitergeben?


Bin echt im Moment etwas verwirrt. Vielleicht kann mir hier jemand das mal kurz erklären.

Danke und Gruß
Andreas

[Sarem_Avuton]

Hallo,

ich erstelle und verwalte meine Zertifikate seit kurzen mit TinyCA und habe seit dem einem besseren Überblick.

pc-lenny01:/home/saremba# aptitude show tinyca
Paket: tinyca
Zustand: Installiert
Automatisch installiert: nein
Version: 0.7.5-2
Priorität: optional
Bereich: utils
Verwalter: Christoph Ulrich Scholler <scholler@fnb.tu-darmstadt.de>
Unkomprimierte Größe: 741k
Hängt ab von: libgtk2-perl, liblocale-gettext-perl, openssl (> 0.9.7e)
Empfiehlt: zip
Beschreibung: Einfaches, grafisches Programm zur Verwaltung von Zertifizierungsstellen
TinyCA ist ein Programm mit einer einfachen grafischen Benutzeroberfläche, das
es einfach macht, eine kleine CA (Zertifizierungsstelle, engl. Certification
Authority) zu betreiben. TinyCA arbeitet als Frontend für OpenSSL und kann mit
mehreren, unabhängigen CAs umgehen.

TinyCA ermöglicht es Ihnen, x509- und S/MIME-Server, sowie Client-Zertifikate
aufzusetzen und zu verwalten. Sie können zwischen RSA- und DSA-Schlüsseln sowie
zwischen verschiedenen Digest-Algorithmen wählen.

Die Zertifikate können Sie im PEM-, DER-, TXT- und PKCS#12-Format oder als
komfortables Archiv, welches sowohl Schlüssel als auch Zertifikat enthält,
exportieren. Zertifikate können widerrufen werden, indem sie einer
Zertifikat-Widerrufsliste hinzugefügt werden.

Die TinyCA-Webseite befindet sich auf http://tinyca.sm-zone.net/

Vieleicht hilf es dir bei der Verwaltung.

VG Jörg

[AndreasMeier]

Danke für die schnelle Antwort.

TinyCA läuft bei Dir auf dem Server ? (davon geh ich jetzt mal aus)
Und von dort verteilst Du alle Zertifikate ?

Ich installiers mal und schau es mir mal durch. Klingt auf jeden Fall schonmal sehr gut.
Danke !

[Sarem_Avuton]

Nein TinyCA ist ja grafisch läuft also auf meinem Verwaltungsclient. Damit erzeuge ich die Zertifikate und verteile sie dann entsprechend wie ich sie in welcher Form auch brauche.

vg jörg

[AndreasMeier]

Also, jetzt sitz ich an TinyCA.
Ich hab mir jetzt bereits die CA erstellt.

Jetzt gehts an die ersten Requests/Schlüsselanforderungen.

Gibt es eine (vollständige, evtl. auch deutsche) Anleitung im Netz, die auf die komplette Schlüsselerstellung mit TinyCA eingeht, ebenso auf die im ersten Posting genannten Punkte (Webserver, Mailserver, etc.)?

Ich kann zwar in TinyCA Schlüsselrequests signieren und dann auch den Schlüssel exportieren.
Hab den Versuch mit einem Schlüssel für Mailverschlüsselung mit OpenPGP gemacht.
Konnte den Schlüssel auch als p12-Datei exportieren.
Dann allerdings im KDE-Kontrollzentrum des Clients gabs dann die ersten Probleme.
Die p12-Datei konnte ich noch importieren. Allerdings wird mir zwar mein Name, allerdings nicht meine eMail-Adresse angezeigt, die ich in TinyCA angegeben hatte.
Die Sperre konnte ich auch noch aufheben, allerdings kann ich dann den Schlüssel nicht in Kmail/Kleopatra importieren.

Darum die Frage nach einer guten, klar strukturierten deutschen Anleitung, die die komplette Schlüsselerstellung und -verwaltung erklärt und einen durchbegleitet.

Danke und Gruß
Andreas

[Sarem_Avuton]

Hallo,

Hier ist es kurz erklärt (Kapitel 4).

vg Jörg

Etwas Umfangreicher

[1],[2],[3], sehr gut aber leider in Englisch

[AndreasMeier]

Also gerade die zuletzt genannten englischen Links sind klasse.
Manchmal wäre es zwar ein bisschen einfacher, bei so komplexen Themen das ganze in Deutsch zu lesen.

Dort beschrieben steht ja das ganze für die Einbindung des Server-Zertifikats in Apache (das ist ja Punkt 1 in meinem Erst-Posting hier).

Jetzt noch abschliessend ein paar kleine Fragen:
2.) Kann ich selbiges Server-Zertifikat auch für Postfix/Cyrus-Imap nehmen ?
3.) Kann ich selbiges Server-Zertifikat auch für SSH PublicKey-Authentification nehmen ?
4.) Kann ich selbiges Server-Zertifikat auch für OpenVPN nehmen ?
5.) Kann ich selbiges Server-Zertifikat auch für FTPS (proFTP) nehmen ?

=> sprich: ein Zertifikat für alle Dienste (die Frage ist ja immer noch offen).
Oder ist es besser, einzelne Zertifikate am Server zu erstellen/signieren und an den Client zu geben ?

Danke und Gruß
Andreas

[Sarem_Avuton]

Nun das ist eine gute Frage,
ich selber würde für jeden Dienst jeweils eigene Zertifikate erstellen. Aber sicher kann es da auch andere Meinungen geben.
TinyCA setze ich ja erst ein, als ich nach dem Debian SSL Bug festellte, dass meine Dokumentation der rausgegebenen Schlüssel lückenhaft war

Grüße Jörg