Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- centos:mail_c7:mta_5 [04.01.2016 16:27. ] – [TLS-Verbindungen, verschlüsselte Kommunikation für Postfix 2.11 unter CentOS 7] django
+++ centos:mail_c7:mta_5 [28.09.2017 09:58. ] – [Speicherort] Fehlerkorrektur bei Zertifikaten durchgeführt django
@@ Zeile 270: / Zeile 270: @@
 openssl dhparam -out dh_1024.pem 1024
 openssl dhparam -out dh_2048.pem 2048
-chmod 640 dh_512.pem dh_1024.pem dh_2048.pem
+openssl dhparam -out dh_4096.pem 4096
+chmod 640 dh_512.pem dh_1024.pem dh_2048.pem dh_4096.pem
 /usr/bin/rsync /etc/pki/tls/tmp/*.pem /etc/pki/tls/private/
 rm *.pem -f
 </file>
-Damit das Script auch ausgeführt werdden kann, versehen wir es noch mit den benötigten Rechten.
+Damit das Script auch ausgeführt werden kann, versehen wir es noch mit den benötigten Rechten.
    # chmod +x edh_keygen
 <WRAP center round tip>
-Warum das ganze in ein Shellsript packen, wird nun sich der ein oder andere gefragt haben. Ganz einfach: Wenn wir das Script nun nach **///etc/cron.hourly//** verschieben, können wir einfach stündlich neu generierte Schlüssel generieren und auch verwenden!
+Warum das ganze in ein Shellsript packen, wird nun sich der ein oder andere gefragt haben. Ganz einfach: Wenn wir das Script nun nach **///etc/cron.daily//** verschieben, können wir einfach einmal am Tag neu generierte Schlüssel generieren und auch verwenden!
 </WRAP>
-   # mv edh_keygen /etc/cron.hourly/
+   # mv edh_keygen /etc/cron.daily/
+Zum Testen welche Schlüssel vom Server verwendet werden, können wir folgenden Befehl verwenden:
+   $ echo | openssl s_client -starttls smtp -connect smtp.nausch.org:25 -cipher "EDH" 2>/dev/null | grep -ie "Server .* key"
+Als Antwort erhalten wie zwei Zeilen mit Angabe zu den Schlüssellängen. Die erste Zeile beschreibt den temporären Diffie Hellman, die zweite Zeile den RSA-Schlüssel des TLS-Zertifikats.
+  Server Temp Key: DH, 4096 bits
+  Server public key is 4096 bit
@@ Zeile 564: / Zeile 572: @@
    -rw-r--r-- 1 root root 3394 Jul 23 14:07 cakey.pem
-Sichtshalber ändern wir die Rechte so, dass die Schlüsseldateien nur für root lesbar sind:
+Sicherheitshalber ändern wir die Rechte so, dass die Schlüsseldateien nur für root lesbar sind:
    # chmod 400 *.pem
 Bei Bedarf kann man mit **openssl rsa -in <keyfile> -noout -text** die Schlüsseldatei öffnen und ausgeben lassen.
@@ Zeile 1307: / Zeile 1315: @@
   - unseren //Serverzertifikat// : **servercert.pem** <code> # mv /etc/pki/CA/servercert.pem /etc/pki/postfix/certs/servercert_2014-10-19.pem</code>
   - unseren //Serverschlüssel// : **serverkey.pem** <code> # mv /etc/pki/CA/serverkey.pem /etc/pki/postfix/private/serverkey_2014-10-19.pem</code>
-  - das //CA-Zertifikat// : **cacert.pem** <code> # cp /etc/pki/CA/cacert.pem /etc/pki/dovecot/certs/</code>
+  - das //CA-Zertifikat// : **cacert.pem** <code> # cp /etc/pki/CA/cacert.pem /etc/pki/postfix/certs/</code>
-  - und schützen diese Dateien mit den Dateirechten **400**: <code> # chmod 400 /etc/pki/dovecot/private/*.pem
+  - und schützen diese Dateien mit den Dateirechten **400**: <code> # chmod 400 /etc/pki/postfix/private/*.pem
- # chmod 400 /etc/pki/dovecot/certs/*.pem</code>
+ # chmod 400 /etc/pki/postfix/certs/*.pem</code>
@@ Zeile 2492: / Zeile 2500: @@
 # default: smtpd_tls_dh512_param_file =
 #          smtpd_tls_dh1024_param_file =
-smtpd_tls_dh1024_param_file = /etc/pki/postfix/private/dh_2048.pem
+smtpd_tls_dh1024_param_file = /etc/pki/postfix/private/dh_4096.pem
 smtpd_tls_dh512_param_file = /etc/pki/postfix/private/dh_512.pem</code>
   - **"Ephemeral Elliptic Curve Diffie-Hellman" Schlüsselaustausch**: Definition des Grads der Sicherheit beim EECDH Schlüsselaustausch \\ \\ <code bash># Django : 2014-10-19 - Grad der Sicherheit beim EECDH Schlüsselaustausch