ja, „eigentlich“ … ich finde es im Moment eher … äh, … „unübersichtlich“.
Unter der alten Version 6.x haben viele die Option TLS_REQCERT never gesetzt – könnte mir denken, dass das genau aus diesem Grund war: wenn man den Server über Port 636 abfragen wollte und kein signiertes Zertifikat vorweisen konnte, kam die Verbindung nicht zustande, richtig?
Jetzt habe ich unter v7 diese Files auf dem Server:
-rw-r--r-- 1 root ssl-cert 5528 Nov 22 08:11 server.cert.bundle.pem
-rw-r----- 1 root ssl-cert 1257 Sep 14 16:28 server.cert.pem
-rw-r----- 1 root ssl-cert 1033 Sep 14 16:28 server.csr
-rw------- 1 root ssl-cert 1675 Sep 14 16:28 server.key.pemund diese LE-Zertifikate auf der FW:
-rwxr-x--- 1 root wheel 1648 Nov 21 15:57 ca.cer*
-rwxr-x--- 1 root wheel 3933 Nov 21 15:57 fullchain.cer*
-rwxr-x--- 1 root wheel 2285 Nov 21 15:57 server.linuxmuster.meine-schule.de.cer*
-rwxr-x--- 1 root wheel 957 Nov 21 15:57 server.linuxmuster.meine-schule.de.conf*
-rwxr-x--- 1 root wheel 1700 Nov 21 15:57 server.linuxmuster.meine-schule.de.csr*
-rwxr-x--- 1 root wheel 220 Nov 21 15:57 server.linuxmuster.meine-schule.de.csr.conf*
-rwxr-x--- 1 root wheel 3243 Nov 21 11:32 server.linuxmuster.meine-schule.de.key*Ich nehme stark an, dass ich den LE-Krempel rüberholen und die selbst erzeugten Zertifikate ersetzen kann (wenn ich weiß, welche Datei welcher entspricht…)