[Postfixbuch-users] postfix als SMTP-Client: certificate verification failed

[Markus Hohlmeier]

>> Alle Zertifikate stammen von der gleichen CA. Die komplette "CA-Kette"
>> (Telekom - DFN-Verein - UHH-CA) ist auf dem System auch installiert:
>> openssl s_client -connect mailhost:25 -starttls smtp -showcerts -CApath /etc/ssl/certs
>> liefert zum Schluss ein "Verify return code: 0 (ok)".
>>
>> Auch die Verifizierung anderer Zertifikate (z.B. von mail.gmx.net)
>> klappt auf diese Weise.
Ich hatte mal das gleiche Problem und mein Endresultat ging auch in die Richtung, dass Postfix wohl die Zertifikate irgendwie nie zu Gesicht bekommt.

1. Variante wäre es das von Debian vollautomatisch generierte CAFile einzubinden(da sind alle vom Paket ca-certfificates enthaltenen Zertifikate in einem File drin):

	smtp_tls_CAfile                = /etc/ssl/certs/ca-certificates.crt

http://www.postfix.org/postconf.5.html#smtp_tls_CAfile
Vorteil ist, dass es egal ist ob chrooted ist oder nicht. Ich selbst sehe für mich momentan keinen Nachteil das so zu implementieren und hab es auch so umgesetzt. Sofern man aber ganz sicher gehen will ist wohl die 2. Variante besser.

2. Variante:

Das Ganze per smtp_tls_CApath lösen bzw. sollte das auch ohne funktionieren sofern du den Standardordner nimmst. Wie Mathias schon geschrieben hat musst du aber die Zertifikate am richtigen Ort haben/kopieren, da hier chroot sonst nicht mitspielt. Bei mir kopiert Debian die Zertifikate aus /etc/ssl/certs jedenfalls nicht automatisch ins chroot rein.


> Auch wenn Du das hier testest:
>
> $ openssl s_client -connect mailhost:25 -starttls smtp -showcerts
> -CApath /var/spool/postfix/etc/ssl/certs
>
> Postfix ist bei Debian chrooted, daher muss dass entsprechende ca-bundle
> auch dort liegen.

Grüße Markus