Acrescentando um pem para outro

Question

Acrescentando um pem para outro

#1 resposta do (5 votos)
#2 resposta do (1 votos)
#3 resposta do (1 votos)

3

Encontrei um blog que me ajudou a retransmitir o postfix pelo smtp.gmail.com com a autenticação SASL. Um dos passos foi:

cat /etc/ssl/certs/Thawte_Premium_Server_CA.pem | \
              sudo tee -a /etc/postfix/smtp_cacert.pem

Quando leio algo assim, fico um pouco preocupado, porque não tenho certeza do que acontece se eu acrescentar o Thawte .pem ao meu. Eu construí o .pem com:

openssl req -new -x509 -days 365 -nodes -out smtp_cacert.pem \
             -keyout smtp_cacert.key'...

Qual é o risco de anexar o Thawte .pem no que eu criei?
O que funcionalmente isso está fazendo para SSL quando eu adiciono o Thawte .pem ao meu?

openssl postfix certificates sasl

por Mike Pennington 03.08.2013 / 13:01

3 respostas

5

A ordem correta para combinar múltiplos arquivos PEM é:

a ordem correta do PEM é a seguinte:

-----BEGIN RSA PRIVATE KEY-----
(Your Private Key: your_domain_name.key)
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
(Your Primary SSL certificate: your_domain_name.crt)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Your Intermediate certificate: IntermediaryCA.crt)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Your Root certificate: TrustedRoot.crt)
-----END CERTIFICATE-----

Qualquer um que você não tenha (ou não queira estar contido em um arquivo) pode ser omitido. Mas a ordem vai do mais específico para o menos específico.

Chave
Seu certificado
Certificado CA intermediário
Certificado da CA raiz

Se houver vários intermediários, continue listando-os em ordem, na mesma ordem da cadeia.

Nem todos os programas exigem esse pedido, alguns descobrirão por conta própria. Mas eu experimentei que tanto o Postfix quanto o Stunnel exigem esse pedido.

por 03.08.2013 / 20:27

1

Tudo o que você está fazendo é criar uma cadeia de certificados ao concatená-los juntos dessa maneira. Este SO Q & A explica os formatos dos vários arquivos, intitulados: . É provavelmente a melhor explicação dos diferentes formatos de arquivo que vi.

trecho

.pem Defined in RFC's 1421 through 1424, this is a container format that may include just the public certificate (such as with Apache installs, and CA certificate files /etc/ssl/certs), or may include an entire certificate chain including public key, private key, and root certificates. The name is from Privacy Enhanced Email, a failed method for secure email but the container format it used lives on.

por 03.08.2013 / 14:22

Tags openssl postfix certificates sasl

A chave pública e privada permanece a mesma para um usuário ou sistema? Substitua todas as ocorrências de \ exceto \ N

score 1 · Accepted Answer

What is the risk of appending the Thawte .pem on the one I generated?

Nenhum.

What functionally is this doing to SSL when I append the Thawte .pem to mine?

Colocar vários itens no mesmo arquivo os torna todos disponíveis para a biblioteca SSL para iniciar conexões. Especificamente, se um ou mais certificados assinaram o certificado que corresponde à chave privada que você está usando, esses certificados adicionais (geralmente "intermediários") serão enviados ao cliente de conexão para ajudar a estabelecer uma cadeia de confiança de alguma raiz confiável instalado no computador do cliente e o certificado que você está usando para proteger sua sessão.

Assim:

[ Trusted root ] --signed--> [ Intermediate ] --signed--> [ Your Cert ]

Se o cliente não tiver uma cópia do certificado intermediário, ele não poderá estabelecer o vínculo entre a raiz confiável e seu certificado. Se você fornecer durante a negociação SSL, ele não precisará receber uma cópia.