Da meine Zertifikate ausgelaufen sind, hier mal ein paar Notizen zum Wechsel der Zertifikate. Ich verwende Zertifikate von StartSSL.com (kostenlos für private Nutzung) für verschiedene Dienste (u.a. Webserver, Mail-Server, LDAP-Server, Datenbanken, …).
- Umkodieren des Key-Files um das Passwort zu entfernen:
openssl rsa -in server.key -out server.key-out - Prüfen, ob Key und Zertifikat zusammenpassen:
(openssl x509 -noout -modulus -in server.pem | openssl md5 ;\
openssl rsa -noout -modulus -in server.key | openssl md5) | uniq - Zusammenbauen eines „chained certificates“, welches alle Intermediate- und Root-Zertifikate enthält:
cat server.crt sub.class1.server.ca.pem ca.pem > server.crt-chained - Dienste entsprechend für die Nutzung der neuen Zertifikate konfigurieren
- Testen der Verbindung zu den Diensten, Beispiele:
- IMAPS (kein StartTLS)
Bei mir ergibt sich folgender Output:openssl s_client -connect DNSNAME:993 | openssl x509 -text | grep -E "Not (Before|After)"
sieht gut aus …Not Before: Aug 28 21:59:14 2013 GMT
Not After : Aug 30 13:47:19 2014 GMT - SMTP bzw. andere StartTLS-fähige Dienste:
Ausgabe muss gleich sein wie obenopenssl s_client -connect DNSNAME:25 -starttls smtp | openssl x509 -text | grep -E "Not (Before|After)"
- IMAPS (kein StartTLS)