[Postfixbuch-users] TLS Verbindung abgelehnt - Zertifikat kann nicht verifiziert werden

Ties Dethlefs dethlefs at schaefer-mafo.de
Di Jun 21 13:56:22 CEST 2005


Hallo,

TLS verschlüsselte Mails von einem bestimmten Provider an mich werden
mit folgender Fehlermeldung abgelehnt:
#####
smtp[12720]: SSL_accept:SSLv3 flush data
smtp[12720]: read from 0811F3F0 [08128A10] (5 bytes => -1 (0xFFFFFFFF))
smtp[12720]: SSL_accept:error in SSLv3 read client certificate A
smtp[12720]: SSL_accept:error in SSLv3 read client certificate A
smtp[12720]: read from 0811F3F0 [08128A10] (5 bytes => 5 (0x5))
smtp[12720]: 0000 15 03 01 00 02     .....
smtp[12720]: read from 0811F3F0 [08128A15] (2 bytes => -1 (0xFFFFFFFF))
smtp[12720]: SSL_accept:error in SSLv3 read client certificate A
smtp[12720]: read from 0811F3F0 [08128A15] (2 bytes => 2 (0x2))
smtp[12720]: 0000 02 30     .0
smtp[12720]: SSL3 alert read:fatal:unknown
smtp[12720]: SSL_accept:failed in SSLv3 read client certificate A
smtp[12720]: SSL_accept error 0
smtp[12720]: 12720:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1
alert unknown ca:s3_pkt.c:956:SSL alert number 48:
smtp[12720]: disconnect from mail.mmmmmm.com[xxx.xxx.xxx.xxx]
####
Anscheinend kennt er also meine CA nicht. Mein Zertifikat ist allerdings
von Globalsign und diese CA sollte bekannt sein.

Hier habe ich mal mit s_client meinen Server getestet und für mich sieht
der Output gut aus:

####
openssl s_client -showcerts -cert /etc/ssl/certs/mailserver.pem -key
/etc/ssl/private/mailserver.key -starttls smtp -CApath /etc/ssl/certs/
-connect mail.schaefer-mafo.de:25


CONNECTED(00000003)
depth=3 /C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
verify return:1
depth=2 /C=BE/O=GlobalSign nv-sa/OU=Primary Secure Server
CA/CN=GlobalSign Primary Secure Server CA
verify return:1
depth=1 /C=BE/O=GlobalSign nv-sa/OU=ServerSign CA/CN=GlobalSign
ServerSign CA
verify return:1
depth=0 /C=DE/ST=Hamburg/L=Hamburg/O=Schaefer Marktforschung
GmbH/OU=Mailserver/CN=mail.schaefer-mafo.de/emailAddress=email at schaefer-mafo.de 


verify return:1
---
Certificate chain
0 s:/C=DE/ST=Hamburg/L=Hamburg/O=Schaefer Marktforschung
GmbH/OU=Mailserver/CN=mail.schaefer-mafo.de/emailAddress=email at schaefer-mafo.de 


  i:/C=BE/O=GlobalSign nv-sa/OU=ServerSign CA/CN=GlobalSign ServerSign CA
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
1 s:/C=BE/O=GlobalSign nv-sa/OU=ServerSign CA/CN=GlobalSign ServerSign CA
  i:/C=BE/O=GlobalSign nv-sa/OU=Primary Secure Server CA/CN=GlobalSign
Primary Secure Server CA
-----BEGIN CERTIFICATE-----
MIIEFzCCAv+gAwIBAgILBAAAAAAA+j3u8fcwDQYJKoZIhvcNAQEFBQAweTELMAkG
A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExITAfBgNVBAsTGFBy
aW1hcnkgU2VjdXJlIFNlcnZlciBDQTEsMCoGA1UEAxMjR2xvYmFsU2lnbiBQcmlt
YXJ5IFNlY3VyZSBTZXJ2ZXIgQ0EwHhcNMDQwMTIyMDkwMDAwWhcNMDkwMTI4MTEw
MDAwWjBjMQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEW
MBQGA1UECxMNU2VydmVyU2lnbiBDQTEhMB8GA1UEAxMYR2xvYmFsU2lnbiBTZXJ2
ZXJTaWduIENBMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0dkNqei/
yW/6JO5Wc7YT0C4NnfG/7TxWnxjFjMkdi2adIiSYRJmYkKyY7VKVYAjSIdpOelaO
cjfkWiLKYUVa+Bznik0EASFwGcWh12YgscLaFwaPINsO0EbU77Akx+ObdvXJwtIE
CSL8sGX/bPbWKZdjJQjtkNaK/IkHvazrAxZjeuqj+IKGdFT3dabWXLKkqqx/s3C8
TiXHW8YDXaqxteXa+CzXsTI9dPm6C9PQ5wMaZFc7bMOxi3jiA9CVt4Scb/VRWRWB
86UxBpD5Aw0Wg9g4RrfG3vJbec5q6NU4gGINHDQJOj3ZoZmbWk6EVm22jH3sHa5I
aW84jH70y+nX7QIDAQABo4G1MIGyMA4GA1UdDwEB/wQEAwIBBjASBgNVHRMBAf8E
CDAGAQH/AgEAMB0GA1UdDgQWBBRIu6i/W4TSV0jkYemRIJHYHSXffzA5BgNVHR8E
MjAwMC6gLKAqhihodHRwOi8vY3JsLmdsb2JhbHNpZ24ubmV0L3ByaW1zZXJ2ZXIu
Y3JsMBEGCWCGSAGG+EIBAQQEAwIBBjAfBgNVHSMEGDAWgBTRZoP1iV7Qvn9h0t2o
yvorekp/MTANBgkqhkiG9w0BAQUFAAOCAQEAdIs/jWYFXPgrIoFxgWYlmB/bIYgW
j+tEJz1/EhGMjjw39MvTnJbkn2uWR1/WqHhyIbzqUicSuvviSF5RaXXWLa+jnTJs
NVr919mn+ZDVWVIrEU8cSKBk1jyIZf8llWpPiUpvm9Hc4uX92OkLZ/+1O1FcH+pL
1uKY5wBJIIb2MQtjVMyyd4mCWU2tbkhfoNUloQ0GLgyO7s5UIkSb2qOnu2CM1MUM
yZID1pUwtGEEg9ML8f5meoV6Az9/j10Th3ATAesxUm6rdTtVv8M01HJAp/ci3afx
gBUJ3u3jI0/iECxASuFVG3v4S+5FO50rhxlhZ6ghcmqZgQ7HTun7TJoNTQ==
-----END CERTIFICATE-----
---
Server certificate
subject=/C=DE/ST=Hamburg/L=Hamburg/O=Schaefer Marktforschung
GmbH/OU=Mailserver/CN=mail.schaefer-mafo.de/emailAddress=email at schaefer-mafo.de 


issuer=/C=BE/O=GlobalSign nv-sa/OU=ServerSign CA/CN=GlobalSign
ServerSign CA
---
No client certificate CA names sent
---
SSL handshake has read 2627 bytes and written 342 bytes
---
New, TLSv1/SSLv3, Cipher is EDH-RSA-DES-CBC3-SHA
Server public key is 1024 bit
SSL-Session:
   Protocol  : TLSv1
   Cipher    : EDH-RSA-DES-CBC3-SHA
   Session-ID:
743659605DB78D2D243E5ADCAC845CB784933B8B2EBA5F6D7EBDC9DC83FFBB52
   Session-ID-ctx:
   Master-Key:
C161538056CE9500ECA8D2A74E6CED8B8F4F9CEBD9783C69838579888779127852F3786D8B6872065052174A398C8603 


   Key-Arg   : None
   Start Time: 1119279430
   Timeout   : 300 (sec)
   Verify return code: 0 (ok)
---
220 mail.schaefer-mafo.de ESMTP Postfix on SuSE eMail Server 2.0
####
Ist eine ziemlich alte Postfix Version (20001005) die demnächst auf
einen aktuellen Stand gebracht wird. Könnte es daran liegen?
TLS verschlüsselte Mails von anderen Providern ( z.B. Web.de ) kann ich 
empfangen, aber es kann auch sein das diese auch ohne gültige CA 
zufrieden sind.


-- 
Mit freundlichen Grüßen

Ties Dethlefs






Mehr Informationen über die Mailingliste Postfixbuch-users