[Postfixbuch-users] TLS server engine: cannot load cert/key data, may be a cert/key mismatch?
Friedemann Stoyan
fstoyan at swapon.de
So Nov 8 05:43:17 CET 2009
On 7.11.09 22:38, Roland Schmid wrote:
> Hallo,
>
> ich betreibe auf einem Test-Server (etch) Postfix 2.3.8 und Cyrus-IMAP.
> Postfix relayt die Mails via socket (relay_domains) an cyrus
> SMTP AUTH macht Cyrus-Sasl (pam)
> Authentifizierung macht saslauthd plain login, verbindung ist über
> SSL/TLS geschützt.
>
> Seit dem ich meine eigenens zertifikat einsetze (selbst signiert) im
> cyrus, erhalte ich diese fehlermeldung:
> Nov 7 21:50:56 test-server cyrus/imap[3694]: TLS server engine: cannot
> load CA data
> Nov 7 21:50:56 test-server cyrus/imap[3694]: unable to get certificate
> from '/etc/ssl/certs/cert.pem'
> Nov 7 21:50:56 test-server cyrus/imap[3694]: TLS server engine: cannot
> load cert/key data, may be a cert/key mismatch?
> Nov 7 21:50:56 test-server cyrus/imap[3694]: error initializing TLS
>
> Bei der Erzeugung der eigenen CA (./CA.pl -newca) wurde ich am Schluss
> nach der Eingabe eines Challenge Passwortes gefragt (habe eins
> eingegeben) Liegt es daran, dass cyrus den TLS server engine fehler
> bringt ?
>
> Im Mail Client (Evolution) bekomme ich den Fehler "Error Initializing
> TLS".
>
> Gruss Roland
>
> /etc/imapd.conf
> [...]
> # SSL/TLS Options
> # File containing the global certificate used for ALL services (imap,
> pop3,
> # lmtp, sieve)
> #tls_cert_file: /etc/ssl/certs/ssl-cert-snakeoil.pem
> # mein eigenes zertifikat
> tls_cert_file: /etc/ssl/certs/cert.pem
>
> # File containing the private key belonging to the global server
> certificate.
> #tls_key_file: /etc/ssl/private/ssl-cert-snakeoil.key
> # mein eigenes zertifikat (server.pem enthält auch den private key)
> tls_key_file: /etc/ssl/private/key.pem
>
> # File containing one or more Certificate Authority (CA) certificates.
> #tls_ca_file: /etc/ssl/certs/cyrus-imapd-ca.pem
> # meine eigene CA
> tls_ca_file: /etc/ssl/certs/CAcert.pem
>
> # Path to directory with certificates of CAs.
> #tls_ca_path: /etc/ssl/certs
> #Pfad zu meiner eigenen CA
> tls_ca_path: /etc/ssl/certs
> [...]
Ich würde mal schauen, ob das CA-Zertifikat in Ordnung ist:
openssl x509 -noout -text -in /etc/ssl/certs/CAcert.pem
Hat der imapd die Permissions auf die Zertifikate/Keys zuzugreifen?
mfg Friedemann
Mehr Informationen über die Mailingliste Postfixbuch-users