[Postfixbuch-users] postfix/cyrus und thawte-ssl ...
Mathias Jeschke
postfixbuch-users at gmj.cjb.net
Mi Mär 7 15:39:13 CET 2012
Am 07.03.12 13:37, schrieb Foo Bar:
> wenn ich wie werner gesagt hat das thawte-root.pem auf dem client
> nach /etc/ssl/certs kopiere und dann mit "-CApath /etc/ssl/certs"
> arbeite geht es auch ...
In /etc/ssl/certs/ca-certificates.crt sollten die gleichen Zertifikate
enthalten sein, wie als einzelne Dateien unter /etc/ssl/certs.
Wenn Du also ein Zertifikat Thawte verwendest, was bedeuten dürfte,
dass das Zertifikat der Root-CA bei OpenSSL (ca-certificates.crt)
enthalten ist, gibt es im Grunde nur zwei Möglichkeiten warum das
verify() fehlschlägt:
1. Dein Server liefert nicht alle Intermediate-CA-Zertifikate mit.
2. Deine openssl-Bibliothek, und damit auch s_client,
findet das Zertifikat nicht.
Bei 2. solltest Du bedenken, dass openssl einen Hash zum Suchen der
Datei benutzt (was Du aber durch "mkhash" sichergestellt hast).
Welches Zertifikat/Datei genau gesucht wird kannst Du recht einfach mit
"strace" herausfinden, in dem Du "strace -efile" dem obigen s_client
voranstellst und nach /etc/ssl/certs grepst:
$ strace -efile openssl s_client -CApath /etc/ssl/certs ... 2>&1 \
| grep /etc/ssl/certs
Die Datei sollte aus hexadezimalen Ziffern und .0 o.ä. bestehen.
sollte die Datei nicht zu finden sein, ist mit Deiner
Serverkonfiguration (siehe 1.) etwas kaputt.
Das dürfte aber nicht der Fall sein, da es - wie Du behauptest -
mit "-CAfile ca-certificates.crt" funktioniert.
> nur das ist doch müll ... der server liefert die cert-kette doch mit,
> ich kann doch nicht auf jedem client dieser welt verlangen das alle
> mein thawte-root.pem runterladen und nach /etc/ssl/certs kopieren ...
1. Nur wenn man die Funktionsweise von komplexen technischen Systemen
nicht versteht ist es nicht Müll und
2. Ist bei ordnungsgemäßer Server-Konfiguration und dem Einsatz von
"offiziellen" CA-Zertifikaten kein Eingriff in die Clients nötig.
Das ist ja gerade das Geschäftsmodell der Trustcenter ;-)
> und wieso geht es beim apache/browser ? benutzt der browser eventuell
> /etc/ssl/certs nicht und holt sich seine bekannten root-ca's wo anders
> her ?
Dann hast Du Deinen Server falsch konfiguriert, der auf Port 465 lauscht!
Wenn Du die echten Daten uns mitteilen würdest, könnte man Dir sagen,
wo der Fehler liegt - so leider nicht!
Gruß,
Mathias
Mehr Informationen über die Mailingliste Postfixbuch-users