Re: openssl

On Tue, Jan 22, 2013 at 04:19:09PM +0100, Bernhard(at)gtkx.de wrote:
> hallole,
>
> das hab ich befürchtet.
>
> das problem ist, dass der imap reader sich nicht merken kann dass das certifikat vertrauenswürdig ist.
> Es muss also das CA auf den Client.
>

Was ist denn in der Datei dekodiert überhaupt drin?
Wer hat dein Zertifikat signiert?
Ist die Signatur überhaupt noch gültig, oder abgelaufen?
Ein CA-Zertifikat ist letzlich auch nichts weiter als ein Zertifikat und
unterscheided sich nur durch andere Pupose-Flags.
Bei einem selfsigned ist das CA-Zertifikat quasi zugleich das eigene
Zertifikat und kann je nach Software anstelle eines CAcert importiert
werden.
In einem .pem steht üblicherweise mehr drin, in der Regel das eigene
Zertifikat und der eigene Schlüssel, mitunter aber auch intermediate CA,
wenn der Unterschreiber selber nicht direkt bei allen Benutzern bekannt
ist.
Den eigenen Schlüssel darfst du niemals rausrücken, weil damit das
Zertifikat nutzbar ist, die Zertifikate selber sind öffentlich und können
ggfs. beim User importiert werden.
Mitunter erlaubt die Software auch das direkte importieren eines
Fremdzertifizierten Zertifikates
Wenn das Zertifikat abgelaufen ist bringt das allerdings gar nichts mehr,
weil es per Definition ungültig ist.

> Aber damit kenn ich mich ganz und garnicht aus

Es ist eine Vertrauenskette.
Die Anwendung traut den Zertifikaten X und Y.
Ein Zertifikat muss immer unterschrieben sein, als dummy kann es mit sich
selber unterschrieben sein.
Unterschreiben kann man nur mit Zertifikat und zugehörigem Schlüssel.
Wenn der Inhaber von X mit seinem Zertifikat und Schlüssel das Zertifkat
A für den Serverbetrieb ausstellt, d.h. unterschreibt, dann vertraut die
Anwendung auch dem Zertifikat A.
Der Service übermittelt nun beim Verbindungsaufbau das Zertifikat A und
die Anwendung kann erkennen, dass das von X abgesegnet ist.
Im Zertifikat steht auch der öffentliche Schlüssel drin, damit kann der
Server nun mit seinem privaten Schlüssel bestätigen, dass er das Zertifikat
A verwenden darf - neben anderen cryptographischen Details.
Wenn das Zertifikat A zum Unterschreiben definiert ist kann A sogar weitere
Zertifikate ausstellen, z.B. das Zertifikat G.
Eine Anwendung, die G benutzt muss neben G auch A ausliefern, weil die
Anwendung von A unterschriebene Zertifikate nur dann verifizieren kann,
wenn es auch die Signatur in A überprüfen kann.
Zertifikate mit dem Flag zum signieren nennt man im allgemeinen ca-cert,
weil es eben Zertifikate einer Zertifizierungsstelle (certificate agency)
sind.
Leider sind die Zertifizierungsstellen nicht allesammt besonders Sorgfältig
im Umgang mit ihrer Macht, weswegen das ganze Zertifizierungssystem auch
nicht besonders sicher ist - deswegen gibt es dann noch mal diverse
Spezialfeatures, wie online Prüfungen, die das ganze ein wenig einzudämmen
versuchen.

> Von meinem iPhone gesendet
>
> Am 22.01.2013 um 15:53 schrieb Oliver Fromme <olli(at)lurza.secnetix.de>:
>
> > Bernhard(at)gtkx.de wrote:
> >> hab ich gemacht, das CA ist nicht drinn.
> >
> > Dachte ich mir.
> >
> >> Ist es möglich im nachtäglich ein passenes CA zu erzeugen?
> >
> > Nein.
> >
> >> Die software einer Bekannten meckert immer rum.
> >
> > Was genau meckert sie (die Software) denn? Weil sie die CA
> > nicht kennt, weil es ein selbstsigniertes Zertifikat ist,
> > oder weil das Zertifikat abgelaufen ist, oder ...?
> >
> > Ich nehme an, Du hast eine eigene CA mit selbstsigniertem
> > Zertifikat verwendet. Wenn Du die CA nicht mehr hast, gibt
> > es keine Möglichkeit, nachträglich wieder eine "passende"
> > zu erzeugen -- Das wäre ja ein massives Sicherheitsloch,
> > wenn man zu einem existierenden Zertifikat eine passende CA
> > basteln könnte.
> >
> > Du wirst in dem Fall also eine neue CA erstellen müssen,
> > und damit wirst Du dann auch ein neues Zertifikat erzeugen
> > müssen. Lediglich den Server-Key kannst Du weiterverwenden
> > (aber es schadet auch nicht, einen neuen zu generieren).
> >
> > Ob das das Problem mit der Software Deiner Bekannten behebt,
> > ist aber nicht unbedingt gesagt. Das kommt halt darauf an,
> > was das Problem ist. Dazu müsstest Du mit weiteren Infos
> > herausrücken (was für eine Software, was "meckert" sie).
> >
> > Gruß
> > Olli
> >
> > --
> > Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
> > Handelsregister: Amtsgericht Muenchen, HRA 74606, Geschäftsfuehrung:
> > secnetix Verwaltungsgesellsch. mbH, Handelsreg.: Amtsgericht München,
> > HRB 125758, Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
> >
> > FreeBSD-Dienstleistungen/-Produkte + mehr: http://www.secnetix.de/bsd
> >
> > "We will perhaps eventually be writing only small modules which are identi-
> > fied by name as they are used to build larger ones, so that devices like
> > indentation, rather than delimiters, might become feasible for expressing
> > local structure in the source language." -- Donald E. Knuth, 1974
>
>
> To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
> with "unsubscribe de-bsd-questions" in the body of the message

-- 
B.Walter <bernd@bwct.de> http://www.bwct.de
Modbus/TCP Ethernet I/O Baugruppen, ARM basierte FreeBSD Rechner uvm.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message