[Postfixbuch-users] Fragen zu TLS

[Stefan Förster]

* Andre Tann <atann at gmx.net> wrote:
> gestern hab ich mir mal die Passagen aus dem Postfixbuch zu TLS
> vorgenommen, und soweit auch alles zum funktionieren bekommen. Zwei
> Fragen aber hätte ich doch noch dazu:
> 
> 1. Wenn ich TLS für den Versand aktiviere, dann kann Postfix das
> Zertifikat der Gegenstelle nicht verifizieren:
> 
> Oct 28 09:49:00 mailsrv postfix/smtp[26373]: certificate
> verification failed for smtp.1und1.com: num=20:unable to get local
> issuer certificate
> Oct 28 09:49:00 mailsrv postfix/smtp[26373]: certificate
> verification failed for smtp.1und1.com: num=27:certificate not
> trusted
> Oct 28 09:49:00 mailsrv postfix/smtp[26373]: certificate
> verification failed for smtp.1und1.com: num=21:unable to verify the
> first certificate
> 
> Wie kann man denn postfix in die Lage Versetzen, das
> 1und1-Zertifikat zu überprüfen?

Also abgesehen davon, daß das nun wirklich total Wurst ist, ob Du das
verifizieren kannst (solange Du nicht Gegenstellen hast, mit denen Du
zwingend TLS mit verifizeirtem Zeritifikat machen musst):

smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

Ein File mit allen gültigen Zeritifkaten musst Du entweder selbst
erstellen oder Dich auf den Mechanismus der Distribution verlassen,
sprich, es kann sein, daß es obiges File bei Dir nicht gibt oder daß
es anders heißt.

> 2. Ich habe die Zertifikate für Postfix händisch, sprich: nicht mit
> Yast erstellt. Jetzt sehe ich, daß sie ein Jahr gültig sind. Wie
> hätte ich denn eines mit längerer Gültigkeit erstellen können?

http://www.openssl.org/docs/HOWTO/certificates.txt

Option "-days".


Ciao
Stefan
-- 
Stefan Förster     http://www.incertum.net/     Public Key: 0xBBE2A9E9
FdI #753: Nur der Inhalt zählt! - Ich war zu blöd, meinen HTML-Editor richtig
zu bedienen.