[Postfixbuch-users] certificate verification failed , untrusted issuer
PV
news at amaltea.de
Mi Jan 19 02:14:05 CET 2011
Das Thema wurde bereits durchgekaut, dennoch möchte ich auch verstehen
und für mich lösen.
http://listi.jpberlin.de/pipermail/postfixbuch-users/2008-August/045300.html
In meinem Maillog taucht folgendes auf:
untrusted issuer /C=SE/O=AddTrust AB/OU=AddTrust External TTP
Network/CN=AddTrust External CA Root
und
untrusted issuer /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
und
untrusted issuer /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary
Certification Authority - G2/OU=(c) 1998 VeriSign, Inc. - For authorized
use only/OU=VeriSign Trust Network
Diese Meldungen erscheinen, wenn ich Mails an eine GMX-Liste, googlemail
oder die Sparkasse verschicke.
Da die Zustellung jedesmail einwandfrei funktioniert hat, könnte ich das
auch ignorieren oder mein Loglevel runtersetzen. :-)
Verstehe ich das richtig, dass mein postfix meckert, weil ich die
Zertifikate nicht eingebunden habe, die von den Zielservern verwendet
werden?
Ich habe mir nun von https://www.verisign.com/support/roots.html
per
wget https://www.verisign.com/support/roots.zip
in /etc/ssl/root_zertifikate/
entpackt
und zusätzlich in die main.cf folgendes eingetragen.
/etc/ssl/mycerts/root_zertifikate
Anschliessend noch ein
/usr/bin/c_rehash /etc/ssl/mycerts/root_zertifikate/ && postfix reload
Wozu der c_rehash? Habe danach keine neuen Symlinks gefunden.
Löst das jetzt mein "Problem"? Test an meine eben eingerichtete
goolemail Adresse meldet es nun nicht mehr. Die anderen Ziele habe ich
bisher noch nicht wieder angeschrieben.
Habe ich jetzt alle notwendigen Zertifikate? Muss ich noch mein eigenes
Zertifikat im smtp_tls_CApath ablegen?
Meine bisherigen tls Optionen in der main.cf
smtp_tls_note_starttls_offer = yes
smtp_use_tls = yes
smtpd_tls_CAfile = /etc/ssl/mycerts/smtp/cacert.pem
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/ssl/mycerts/smtp/smtpd.crt
smtpd_tls_key_file = /etc/ssl/mycerts/smtp/smtpd.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database =
btree:/var/lib/postfix/smtpd_scache_smtpd_tls_session_cache_DB
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
Postfix 2.5.5
openSuSE 11.1
Mein Server verwendet selbsterstellte Zertifikate.
Viele Grüße
Paul
Mehr Informationen über die Mailingliste Postfixbuch-users