[Postfixbuch-users] Mails über TLS an Relay übergeben
Sandy Drobic
postfixbuch-users at japantest.homelinux.com
Do Jan 10 20:44:36 CET 2008
Frank Eisenblaetter wrote:
> * Sandy Drobic <postfixbuch-users at japantest.homelinux.com> [080110 18:40]:
>>> Wie bringe ich postfix dazu das gmx-Zertifikat zu verifizieren?
>> smtp_tls_CApath = /etc/ssl/certs
>>
>> Stelle aber sicher, dass die Thawte-CA dabei ist:
>> CN=Thawte Premium Server CA
>
> Danke für die schnelle Antwort. Habe den obigen Parameter ergänzt und
> bekomme nun folgende Fehlermeldung:
>
> (Cannot start TLS: handshake failure)
>
> Muss man für smtp auch noch ein cert_file und key_file angeben? Wenn
> ja, kann mir jemand sagen was es mit dem in debian standardmäßig
> angegebenen ssl-cert-snakeoil auf sich hat? Ist das ein automatisch
> erzeugter key, den ich verwenden kann oder soll ich mir auf jeden
> Fall selbst einen erstellen?
Debian war hier das treffende Stichwort, da Debian fast alle Daemons von
Postfix im chroot betreibt. Zeige mal die master.cf, ob dies auch bei dir
der Fall ist.
Hier die drei "Gotchas", auf die man achten muss:
1. PEM-Format?
> Directory with PEM format certificate authority certificates that the
> Postfix SMTP client uses to verify a remote SMTP server certificate.
2. c_rehash ausgeführt? Muss bei jeder Veränderung der certs erneuert werden!
> Don't forget to create the necessary "hash" links with, for example,
> "$OPENSSL_HOME/bin/c_rehash /etc/postfix/certs".
3. chroot von smtp?
> To use this option in chroot mode, this directory (or a copy) must be
> inside the chroot jail.
Aus:
http://www.postfix.org/postconf.5.html#smtp_tls_CApath
--
Sandy
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Mehr Informationen über die Mailingliste Postfixbuch-users