Liebe Mitdenker,
liebe Wissende,
liebe Neugierige,

ja!

Warum benutzt du diese Nomenklatur? Was stimmt an deinen Keys nicht?

Ist zwar nicht schön, aber zum Ausprobieren reicht es erstmal. Bei StartSSL bekommt man für dieselbe Domain nur ein Zertifikat und der Key dafür muss imho immer mit Key versehen werden.

Du meinst „und der Key dafür muss immer mit einer Passphrase versehen werden?“ Warum? Wenn jemand Zugriff hat auf deine Kiste hilft dir das Zertifikat eh nicht mehr, das kann er im Zweifel einfach austauschen. Und der Key wird nicht stärker oder schwächer mit der Passphrase.

Ich habe das mit den Keys das erste Mal gemacht und nun hat mein Kollege den verschlüsselten Privat Key einfach wieder entschlüsselt und es funktioniert damit.

openssl rsa -in <Quelle> -out <Ziel>

StartSSL hat den Private Key niemals erhalten von uns. Da habe ich wohl etwas durcheinander gebracht. Aber sie haben trotzdem eine Passphrase verlangt für das Zertifikat. Was sie damit angestellt haben, weiß ich nicht. Vielleicht kann man damit die Echtheit des Zertifikates später nochmal feststellen?

Allerdings schreibt Postfix jetzt "Untrusted TLS connection established". Das geht mir jetzt nicht in den Sinn. Denn am Schlüsselpaar und dem Cert haben wir ja nichts verändert, außer dass der Private Key jetzt wieder ohne zusätzlichen Schlüssel auf der Platte liegt. Ist jetzt meine Tagesaufgabe, das rauszufinden.

"Ich habe ja die Domain bei StartSSL verbrannt für einen weiteren kostenlosen Schlüssel" also darf ich jetzt zusehen, wie ich es wieder richte.

Spirituelle Grüße
Euer Robert