[Postfixbuch-users] postfix/cyrus und thawte-ssl ...

Foo Bar foobar at web.de
Mi Mär 7 10:14:11 CET 2012


On 03/07/2012 09:28 AM, Andreas Schulze wrote:
> Am 06.03.2012 20:34 schrieb foobar at web.de:
>> ich versteh irgendwie den ssl-kram nicht ;(
> 
> Hallo,
> Ich gehe mal von so einem Setup aus. Das ist wohl nicht unüblich:

[...]

Danke für die Erklärung, aber funktionieren tut das nicht ;(
Ich versuche das mal zusammenzufassen.

Wie geht man eigentlich vor ?
Angenommen: postfix, cyrus

1. CSR erstellen
    => foobar.key
    => foobar.csr

2. CSR zu Thawte schicken, dann kommt unser Cert
    => foobar.cert

3. Thawte Root CA runterladen
    => thawte_root_intermediate.pem

Nun Dienste setupen

apache braucht
  SSLCertificateChainFile /etc/ssl/Thawte/thawte_root_intermediate.pem
  SSLCertificateFile      /etc/ssl/Thawte/foobar.cert
  SSLCertificateKeyFile   /etc/ssl/Thawte/foobar.key

  Das ganze unter:

https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO9555
  checken, damit wir wissen das wir die richtigen
  thawte_root_intermediate.pem Sachen erwischt haben.

Ergenis: funktioniert super

> postfix braucht
>  smtpd_tls_cert_file = /etc/ssl/${myhostname}/cert+intermediate+root.pem
>  smtpd_tls_key_file = /etc/ssl/${myhostname}/key.pem

Das würde heißen:

cat foobar.cert \
	thawte_root_intermediate.pem > cert+intermediate+root.pem

Ergebnis => funktioniert nicht ;(

Ich hab folgendes versucht;
  smtpd_tls_key_file=/etc/ssl/Thawte-Certs/foobar.key
  smtpd_tls_cert_file=/etc/ssl/Thawte-Certs/foobar.cert
  smtpd_tls_CAfile=/etc/ssl/Thawte-Certs/thawte_root_intermediate.pem

Ergebnis => funktioniert auch nicht ;(



Wenn ich folgendes mache

  echo quit | openssl s_client -showcerts -connect mail.foobar.com:465

erhalte ich folgende Ausgabe [etwas gekürzt] ;)

Certificate chain
 0 s:/C=DE/.../CN=*.foobar.com
   i:/C=US/O=Thawte, Inc./CN=Thawte SSL CA
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
 1 s:/C=US/O=Thawte, Inc./CN=Thawte SSL CA
   i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006
thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
 2 s:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006
thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
   i:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting
cc/OU=Certification Services Division/CN=Thawte Premium Server
CA/emailAddress=premium-server at thawte.com
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
---
Server certificate
subject=/C=DE/.../CN=*.foobar.com
issuer=/C=US/O=Thawte, Inc./CN=Thawte SSL CA
---
No client certificate CA names sent
---
SSL handshake has read 4446 bytes and written 407 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 4096 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: ..........
    Session-ID-ctx:
    Master-Key: ..........
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1331110951
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---

Das sagt uns meiner Ansicht nach das die Cert-Kette passt,
oder nicht ?

Ja, da steht 'Server public key is 4096 bit', aber das geht nicht
anders weil soweit ich weis Thawte 4096 haben will wenn man ein
Wildcard-Cert (*.foobar.com) beantragt, was hier verwendet wird.




Mehr Informationen über die Mailingliste Postfixbuch-users