SSL-Zertifikats-Verwaltung

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
AK-Palme
Beiträge: 411
Registriert: 25.05.2004 15:38:30
Kontaktdaten:

SSL-Zertifikats-Verwaltung

Beitrag von AK-Palme » 28.07.2007 09:38:35

Hi,
ich betreibe Web- und Mailserver die alle natürlich alle Zertifikate brauchen (Jeweils mehrere Domains). Zusätzlich braucht das Backup (ftplicity) und OpenVPN noch welche.
Bei CaCert habe ich genug Punkte, um mir vernünftige Zertifikate zu besorgen.

Meine Frage ist nun welche Zertifikate ich mir von CaCert signieren lasse und welche ich selbst signiere. Desweiteren bin ich mir nicht sicher, ob es schlau ist, als Webserver- und die Mailserver-Zertifikate das gleiche zu benutzen.

Für das Backup nehme ich natürlich ein dediziertes Zertifikat. Macht es Sinn das von CaCert absegnen zu lassen?!

Zwangsläufig brauche ich für den Webserver ja ein "Multi-Domain-Zertifikat" wegen der VHosts. Gibt es da ein grafisches oder ein curses Frontend? Meine ssl-configdatei wird langsam gross ;)

Gruss, AK-Palme
Nach oben
Benutzeravatar
AK-Palme
Beiträge: 411
Registriert: 25.05.2004 15:38:30
Kontaktdaten:

Beitrag von AK-Palme » 30.07.2007 02:35:34

*push*

Es muss doch jemand mehr als ein Zertifikat für mehr als einen Dienst haben...
Nach oben
Benutzeravatar
ckoepp
Beiträge: 1409
Registriert: 11.06.2005 20:11:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nähe Heidelberg

Beitrag von ckoepp » 30.07.2007 06:43:53

Sicherheitstechnisch ist es vollkommen egal wer das Zertifikat signiert hat. Du kannst aber auch bei CaCert Zertifikate erstellen lassen, ist wohl etwas vertrauenswürdiger - wenn auch keine Garantie auf Seriösität...

Am Besten ist es aber du kaufst dir eines der teuren Anbieter, dann sind die IE-User glücklich und du hast Support. Aber ziemlich viele denken, man kann die tausend Euro (oder was da eines so aktuell kostet) besser anlegen ;)
"Es gibt kein Problem, das man nicht mit einem doppelten Scotch lösen könnte!"
Ernest Hemingway
Nach oben
Benutzeravatar
AK-Palme
Beiträge: 411
Registriert: 25.05.2004 15:38:30
Kontaktdaten:

Beitrag von AK-Palme » 30.07.2007 12:41:34

Hi,
ich hab bei CaCert ein 100-Punkte-Zertifikat. Da hab ich mich mit mehreren Leuten getroffen für. Das ist mir authentisch genug ;)
Zu den Kosten: Die Tickets zu den treffen haben schon genug für mich gekostet ;) Und die IE-User sind mir echt mal Banane.. Wenn alle Welt ein CaCert-Zertifikat hätte dann würden die IE-User sagen "Der IE hat bugs, der poppt bei allen Seite sone Meldung auf" ;) Und auf ja klicken die eh :o

Meinst du es ist schlau ein einzelnes Zertifikat für alles zu benutzen?
Nach oben
Benutzeravatar
novalix
Beiträge: 1909
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Beitrag von novalix » 30.07.2007 13:25:45

Ein root-Zertifikat mit dem Du die jeweiligen Zertifikate für die einzelnen Dienste bzw. Domains signierst ergibt Sinn. Deine user und Du selbst brauchen nur dieses eine Zertifikat importieren, um auf die jeweiligen Dienste und Sites zugreifen zu können. Für Dienste, die nicht der Öffentlichkeit zur Verfügung stehen, kannst Du das halten wie nen Dachdecker.

ciao, niels
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.
Nach oben
Benutzeravatar
ckoepp
Beiträge: 1409
Registriert: 11.06.2005 20:11:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Nähe Heidelberg

Beitrag von ckoepp » 30.07.2007 15:30:06

novalix hat geschrieben:Ein root-Zertifikat mit dem Du die jeweiligen Zertifikate für die einzelnen Dienste bzw. Domains signierst ergibt Sinn.
SSL/TLS basiert nicht auf Domänen ;)
Jedes Zertifikat brauch eine eigene IP, falls es möglich sein soll einzelne Zertifikate für Domains aufzusetzen.
"Es gibt kein Problem, das man nicht mit einem doppelten Scotch lösen könnte!"
Ernest Hemingway
Nach oben
Antworten

Zurück zu „Sicherheit“