Hallo,
heute ist gerade mein courier Zertifikat abgelaufen, das ich gemäß Anleitung mit mkimapdcert erstellt habe. Die gleiche Prozedur nocheinmal hat aber den Mozilla nicht glücklich gemacht, weil er ein Zertifikat mit gleichem Aussteller (issuer) und gleicher Seriennummer nicht akzeptiert (was ja auch vernünftig ist). Ich habe es aber leider nicht geschafft, einem selbstsignierten Zertifikat eine andere Seriennummer als 0 zu geben. Und die von postfix bekannte Prozedur hat ein Zertifikat erstellt, daß Courier nicht lesen wollte: PEM routines:PEM_read_bio:no start line
Durch Ändern eines Parameters des distinguished names habe ich ihn jetzt überlistet, aber ich würde doch gerne wissen:
- wie kann ich bei "openssl req -x509 -new ..." eine andere Seriennummer als 0 erzeugen
- welches Format muß ein Zertifikat haben, damit es Courier benutzen kann -- und wie erzeuge ich das mit meiner "eigenen kleinen CA"?
Uwe
Uwe Koloska wrote:
- wie kann ich bei "openssl req -x509 -new ..." eine andere Seriennummer
als 0 erzeugen
Weiß ich immer noch nicht.
- welches Format muß ein Zertifikat haben, damit es Courier benutzen
kann -- und wie erzeuge ich das mit meiner "eigenen kleinen CA"?
Das Format war gar nicht das Problem, sondern daß Private Key und Zertifikat in einer Datei sein müssen. Jetzt funktioniert es also so: - Zertifikate für Postfix nach Anleitung erstellen - mit cat zu einer Datei zusammenfügen - (eventuell den Klartext rausschmeißen) - die Berechtigung ändern: 600 daemon root
Jetzt kann der Browser oder das Mailprogramm die cacert.pem importieren und das Zertifikat damit überprüfen.
Jetzt verstehe ich nur noch nicht, warum Postfix cacert.perm (das öffentliche CA Zertifikat) braucht und Courier nicht.
Uwe
lug-dd@mailman.schlittermann.de
-
Uwe Koloska