CA Zertifikat signieren?

Stefan Pump lug at jspweb.net
Sat Jan 15 18:07:36 CET 2005 

Hallo Achim

>> das CA-Root Zertifikat eines als gemeinnützig anerkannten Vereins
>> ...
>> ein offizielles CA-Zertifikat kommen können, ohne dass jeder
>> User extra immer unser Root-Zertifikat importieren muss?
>>
> Den wichtigsten Punkt hast du in deiner Mail nicht erwähnt:
>   Für welchen Zweck benötigst du was für ein Zertifikat ?

Es geht um die einfache Win-Dumm-taugliche Verschlüssekung und
Verifizierung von EMail-Verkehr und um einen gesicherten Webserver.

Der Webserver ist nicht unbedingt das Problem, weil wir da relativ
günstig für ca 8 Euro/Monat ein Thawte 123 SSL bekommen können.

Die EMail-Kommunikation möchte ich gerne ebenfalls signieren und
verschlüsseln können, da die Mailserver und Apache2 Zertifikate
sowieso schon mit dem eigene CA zertifiziert sind, wäre es eine
tolle Gelgeenheit sich das CA-Root Zertifikat, das für die beiden
Zertifikate eh angelegt werden musste irgendwie in die Mainstream-
Zertifikat's Ketten zu intergrieren, sprich sich signieren lassen,
womit wir bei meiner Einstiegsfrage wären ;-)


> Allerdings gehe ich mal davon aus das du ein nicht 
> personen-bezogenes
> Zertifikat für eine Website suchst..
> (.. im Gegensatz zu personen-bezogenen X.509 Certificates für
>  verschlüsselte Mails)

Ich möchte meine interne CA halt signieren lassen, damit ich damit
sowohl das Webserver-Zertifikat, das Mailserver-Zertifikat und
Personen gebundene X.509-Email-Zertifikate signieren kann.

> Der DFN bietet das seinen Mitgliedern (Deutsches Forschungsnetz) an:
> http://www.dfn-pca.de/

Wir sind leider keine Mitglieder im DFN, da hatte ich schon geschaut,
abgesehen davon, dass man selbst das Root-Zertifikat des DFN noch in
den Browser importieren muss. Dann könnte ich auch gleich mein
eigenes zum Download anbieten :-)
Es geht mir in erster Linie nicht darum, dass unsere Identität
zweifelslos bestätigt wird, sondern erstrangig darum, dass die User
es einfach haben und sich nicht mit den Pop-Fenster-Warnungen 
rumschlagen
müssen.

Gruß,
 Stefan
--
JSP-Web Stefan Pump
Internet: http://www.jsp-web.de

More information about the Linux mailing list