Hallo Liste Hintergrund: Ich möchte gerne KMAIL mit S/MIME (Zertifizierung) nutzen (Stichwort Ägypten/Kleopatra) in verbindung mit einem OPENLDAP-Server.
Durchgeführte Maßnahmen: Für die Erstellung des selfsign Zertifikates (CA) und der Userzertifikate habe ich TinyCA verwendet (mit einer scriptsammlung aus dem netz "ssl.ca-01" funtzte es auch, und die openssl eigenen *.pl scripte sollten auch hinhauen). Das alles läuft nach mehr oder weniger intensivem rumfuckeln auch soweit, dass ich via Kleopatra Zertifikate (CA-cert, UserCerts) importieren und fürs mailing benutzen kann. Bei ein Paar Usern ist das kein Problem, sollten es mehr werden, ist die Pflege sehr aufwendig. Die Beste Lösung ist ein zentaler Verzeichnisdienst (LDAP), in dem ich jedem Benutzer den öffentliches Teil seines Zertifikates für die anderen lesbar hinterlege. (an meinem LDAP Server authentifiziert sich jeder Benutzer beim login via TLS und die Homeverzeichnisse werden durch automounter/nfs zur verfügung gestellt). Das ist auch geschehen (obj.class=inetorgPerson mit dem attribyteType=userSMIMECertificate bzw "userCertificate") Probleme: in Kmail/Kleopatra auf dem Client habe ich (stichwort dirmngr) den Ldapserver eingetragen, der versucht den slapd extern abzufragen. Nur scheitert die Abfrage, und "ethereal" spuckt als grund einen "protocolError" aus. (manuals halfen bis jetzt auch nicht weiter) ???Frage??? Hat jemand schon mit der Sache Erfahrung gemacht, oder vielleicht eine Anleitung parat (im netz ist alles so global gehalten)? Und wie bekomme ich das CAcert für alle lesbar in den slapd (die objectClass=certificationAuthority scheiterte immer an dem Attr.Type=authorityRevocationList). Danke im Voraus Jerome