[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ablage fuer x509-Host-Zertifikate

Paul Muster <exp-311220@news.muster.net> wrote:
> On 16.04.20 11:44, Marc Haber wrote:
>> On Thu, 16 Apr 2020 09:27:56 +0200, Paul Muster
>> <exp-311220@news.muster.net> wrote:
>>> Am 15.04.2020 um 21:33 schrieb Marc Haber:

>>>> wenn ich openssl installiere, kommt ja ein selbstsigniertes
>>>> snakeoil-Zertifikat mit. Dabei liegt der private key in
>>>> /etc/ssl/private und das Zertifikat zwischen allen CA-Zertifikaten in
>>>> /etc/ssl/certs. Letzteres finde ich nicht wirklich schön.
>>>>
>>>> Wie macht ihr das? So wie debian das macht oder wo liegen Eure
>>>> Host-Zertifikate?
>>>
>>> /var/lib/dehydrated/certs/<domain>/
>> 
>> Da liegen meine Letsencrypt-Zertifikate auch; ich hätte vielleicht
>> deutlicher schreiben sollen dass ich die Zertifikate aus der eigenen
>> CA meine, die für Dienste wie VPN, Datenbanken etc verwendet werden.

> Nur aus Interesse: Wofür genau im Umfeld VPN und Datenbank nutzt du
> heutzutage noch eine eigene CA? Was gibt es da, was man nicht mit
> wildcard-Zertifikaten von Letsencrypt, ausgestellt z.B. auf
> *.int[ern].zuschlus.de, erschlagen könnte?

VoIP-Deployment: Jeder IP-DECT-Basisstation braucht ein eigenes
Zertifikat, dies von einer externen CA zu beziehen und dann jährlich
manuell zu erneuern ist Wahnsinn. (Ja, manuell, das VoIP-Netz hat keinen
Zugang zu externen Netzen.)

PDU-Deploymnet: Jede Schaltleiste braucht ein eigenes Zerttifikat, ...
siehe oben. 

S!

-- 
Sigmentation fault. Core dumped.
Reply to: