© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Thu, Oct 09, 2003 at 04:35:59PM +0200, Andreas Braml wrote:
> On Thu, Oct 09, 2003 at 03:24:18PM +0200, Bernd Walter wrote:
> >
> > STARTTLS=client
> > version=TLSv1/SSLv3
> > cipher=DES-CBC3-SHA
> > bits=168/168
> > verify=FAIL
> >
> > Letzteres bedeutet, daß das Zertifikat der Gegenstelle nicht OK ist,
> > was aber in erster Linie daran liegt, daß die Defaultkonfiguration
> > keine CA Zertifikate kennt.
>
> Kann ich die Defaultkonfiguration entsprechend erweitern (D.konfiguration wovon
> eigentlich? Sendmail? Oder SASL?)
Eine Variante ist confCACERT_PATH zu definieren und dort die CA-Certs
hinterlegen, die du brauchst.
Beim OpenSSL sind eigendlich die wichigsten dabei.
Das ganze wird dann noch mit gehashten links versehen.
Zum hashen hat OpenSSL die nötigen Scripte.
Eine andere ist ein confCACERT File zu definieren und in das File alles
CA-Certs hintereinanderzu packen.
Ich persönlich bevorzuge die erste Variante, da die etwas bequemer bei
Updates ist.
> > Du kannst übrigens auch per access.db eine SSL Verbindung und auch
> > eine Erfolgreiche Zertifikatprüfung erzwingen.
>
> Wenn Du "auch" sagst, scheint es also eine andere Lösung zu geben. Welche ist
> denn einfacher? Die über access.db oder die "andere"? Und wie sieht die
> entsprechende Lösung dann aus?
Die andere ist es nicht zu erzwingen :)
Du kannst aber natürlich auch eigene Regeln dazu definieren.
-- B.Walter BWCT http://www.bwct.de ticso(at)bwct.de info(at)bwct.de To Unsubscribe: send mail to majordomo.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Thu 09 Oct 2003 - 16:53:21 CEST