Hallo Liste

Hintergrund:
Ich m�chte gerne KMAIL mit S/MIME (Zertifizierung) nutzen (Stichwort
�gypten/Kleopatra) in verbindung mit einem OPENLDAP-Server.

Durchgef�hrte Ma�nahmen:
F�r die Erstellung des selfsign Zertifikates (CA) und der Userzertifikate

habe ich TinyCA verwendet (mit einer scriptsammlung aus dem netz
"ssl.ca-01" funtzte es auch, und die openssl eigenen *.pl scripte sollten
auch hinhauen). Das alles l�uft nach mehr oder weniger intensivem
rumfuckeln auch soweit, dass ich via Kleopatra Zertifikate (CA-cert,
UserCerts) importieren und f�rs mailing benutzen kann. Bei ein Paar Usern

ist das kein Problem, sollten es mehr werden, ist die Pflege sehr
aufwendig. Die Beste L�sung ist ein zentaler Verzeichnisdienst (LDAP), in

dem ich jedem Benutzer den �ffentliches Teil seines Zertifikates f�r die
anderen lesbar hinterlege. (an meinem LDAP Server authentifiziert sich
jeder Benutzer beim login via TLS und die Homeverzeichnisse werden durch
automounter/nfs zur verf�gung gestellt).
Das ist auch geschehen (obj.class=inetorgPerson mit dem
attribyteType=userSMIMECertificate bzw "userCertificate")

Probleme:
in Kmail/Kleopatra auf dem Client habe ich (stichwort dirmngr) den
Ldapserver eingetragen, der versucht den slapd extern abzufragen. Nur
scheitert die Abfrage, und "ethereal" spuckt als grund einen
"protocolError" aus. (manuals halfen bis jetzt auch nicht weiter)

???Frage???
Hat jemand schon mit der Sache Erfahrung gemacht, oder vielleicht eine
Anleitung parat (im netz ist alles so global gehalten)? Und wie bekomme
ich das CAcert f�r alle lesbar in den slapd (die
objectClass=certificationAuthority scheiterte immer an dem
Attr.Type=authorityRevocationList).

Danke im Voraus

Jerome

Antwort per Email an