Let's Encrypt-Zertifikate für andere Server als Webserver

03/11/2015 - 22:15 von Paul Muster | Report spam
Hallo,

Let's Encrypt ist ja seit einiger Zeit "live", d.h. cross-signed und
somit brauchbar. Gedacht scheint die CA allerdings derzeit
ausschließlich für Webserver, auch der Client/Agent und das sog.
"ACME"-Protokoll zielen meinem Verstàndnis nach nur darauf ab.

Nun unterscheiden sich die SSL-Zertifikate für Web- aber nicht von denen
für andere Server.
D.h. man müsste doch "einfach nur" kurzzeitig einen Webserver aufsetzen,
der unter imap.example.org erreichbar ist, um ein Zertifikat für diesen
FQDN zu bekommen. Dieses kann man doch dann dem Mailserver verpassen.
Oder vorübergehend einen Webserver aktivieren, der sich xmpp.example.org
nennt, um das erhaltene Zertifikat dann dem Jabber-Server unterzuschieben.

Was übersehe ich? (Den Aufwand, die virt. Server aufzusetzen und am DNS
zu schrauben, übersehe ich nicht.) Außerdem funktioniert die
automatische Verlàngerung/Erneuerung des Zertifikats nicht. Noch mehr?

https://letsencrypt.org/howitworks/technology/


mfG Paul
 

Lesen sie die antworten

#1 Sven Hartge
03/11/2015 - 23:51 | Warnen spam
Paul Muster wrote:

Let's Encrypt ist ja seit einiger Zeit "live", d.h. cross-signed und
somit brauchbar. Gedacht scheint die CA allerdings derzeit
ausschließlich für Webserver, auch der Client/Agent und das sog.
"ACME"-Protokoll zielen meinem Verstàndnis nach nur darauf ab.

Nun unterscheiden sich die SSL-Zertifikate für Web- aber nicht von
denen für andere Server. D.h. man müsste doch "einfach nur"
kurzzeitig einen Webserver aufsetzen, der unter imap.example.org
erreichbar ist, um ein Zertifikat für diesen FQDN zu bekommen. Dieses
kann man doch dann dem Mailserver verpassen. Oder vorübergehend einen
Webserver aktivieren, der sich xmpp.example.org nennt, um das
erhaltene Zertifikat dann dem Jabber-Server unterzuschieben.



Der ACME client soll auch selbst Webserver spielen können. Derzeit gibt
es Diskussionen darüber, ober dies unbedingt auch auf Port 443 erfolgen
muss, weil dies dann natürlich einen bereits dort laufenden Webserver
stören würde (bzw. von diesem unmöglich gemacht würde):

https://github.com/letsencrypt/acme-spec/issues/33
https://github.com/ietf-wg-acme/acme/issues/4
https://community.letsencrypt.org/t...ers/425/10



Sigmentation fault. Core dumped.

Ähnliche fragen