* Rudolf E. Steiner via postfix-users <[email protected]>: > Am 11.02.24 um 14:25 zitierte/schrieb Ralf Hildebrandt: > > >> Ich habe "certbot" ohne Parameter dbzgl. verwendet. Muss ein bestimmter > >> Signaturtyp verwendet werden? > > Ich denke es wird defaultmäßig ein ECC key/cert erzeugt, das könnte das > > Problem sein. > > Es wird RSA verwendet, wenn "certbot" ohne diesbezügliche Parameter > aufgerufen wird.
Also bei meinem certbot nicht (aber das soll wohl versionsabhängig sein!) > > Ich nutze immer ein Script wie diese, um beide Typen bei unserem > > Anbieter (Sectigo) via ACME zu erzeugen: > [...] > > Und Du bindest dann nur das RSA-Zertifikat bzw. den RSA-Schlüssel in > Postfix ein? Nee, beide: # Certbot RSA: smtpd_tls_cert_file = /etc/letsencrypt/live/mail-cbf.charite.de/fullchain.pem smtpd_tls_key_file = /etc/letsencrypt/live/mail-cbf.charite.de/privkey.pem # Certbot EC: smtpd_tls_eccert_file = /etc/letsencrypt/live/ec-mail-cbf.charite.de/fullchain.pem smtpd_tls_eckey_file = /etc/letsencrypt/live/ec-mail-cbf.charite.de/privkey.pem > Wenn ja, wäre das gleich wir bei mir, nur dass ich "Let's Encrypt" als > Zertifizierungsstelle verwende. > > Gibt es dazu ein "best practice"? Welche Chiffremethode mit welcher > Schlüssellänge soll für einen SMTP-Server verwendet werden? Das BSI empfiehlt "ab jetzt": mind. 3000 Bit RSA (3072 wäre das wohl) und mind. 250 Bit bei elliptic curve (ECDH, ECDSA) https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf?__blob=publicationFile&v=9 (Tabelle 1.2 Seite 19) -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG, 80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein
