[Postfixbuch-users] postfix/cyrus und thawte-ssl ...

Foo Bar foobar at web.de
Do Mär 8 22:13:45 CET 2012


On 03/08/2012 08:44 PM, Mathias Jeschke wrote:
> Am 07.03.12 16:29, schrieb Foo Bar:
> 
>>> 1. Dein Server liefert nicht alle Intermediate-CA-Zertifikate mit.
>>
>> Gut, kann sein.
>> Was muß dann in der config wo drin stehen damit er das tut ?
>>
>> Ein einfaches Einbinden in den Apache tut auch und alle Clients
>> verstehen es !!! Also müssen ja in meiner thawte_root_intermediate.pem
>> alle benötigten drin haben, richtig ???
>>
>>   SSLCertificateChainFile /etc/ssl/Thawte/thawte_root_intermediate.pem
>>   SSLCertificateFile      /etc/ssl/Thawte/foobar.cert
>>   SSLCertificateKeyFile   /etc/ssl/Thawte/foobar.key
>>
>> Wieso geht es dann in der main.cf und in der imap.conf nicht.
>> Das ist doch nicht logisch.
> 
> Wie wäre es denn einmal, wenn Du mal den Inhalt dieser Dateien postest?
> Dann könnten Dir die Leser dieser Liste auch helfen!

Wenn das möglich wär, hätte ich das schon gemacht ;(

Aber es gibt bei einem Bekannten einen Server der das gleiche oder
ein ähnliches Problem hat, auch mit Thawte-Cert.
Der verwendet zwar nicht postfix/cyrus sondern postfix/dovecot, aber
das dürfte ja egal sein.

echo quit | openssl s_client -showcerts  -connect 178.63.204.138:465
echo quit | openssl s_client -showcerts  -connect 178.63.204.138:993

$> grep -i ssl /etc/dovecot/dovecot.conf
ssl = yes
verbose_ssl = no
ssl_key_file = /etc/ssl/thawte/server.key
ssl_cert_file = /etc/ssl/thawte/server.cert
ssl_ca_file = /etc/ssl/thawte/SSL_CA_Bundle.pem

in der main.cf steht es so
smtpd_tls_key_file = /etc/ssl/thawte/server.key
smtpd_tls_cert_file = /etc/ssl/thawte/server.cert
smtpd_tls_CAfile = /etc/ssl/thawte/SSL_CA_Bundle.pem

inhalt
===> server.cert
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

===> SSL_CA_Bundle.pem
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIERTCCA66gAwIBAgIQM2VQCHmtc+IwueAdDX+skTANBgkqhkiG9w0BAQUFADCB
zjELMAkGA1UEBhMCWkExFTATBgNVBAgTDFdlc3Rlcm4gQ2FwZTESMBAGA1UEBxMJ
Q2FwZSBUb3duMR0wGwYDVQQKExRUaGF3dGUgQ29uc3VsdGluZyBjYzEoMCYGA1UE
CxMfQ2VydGlmaWNhdGlvbiBTZXJ2aWNlcyBEaXZpc2lvbjEhMB8GA1UEAxMYVGhh
d3RlIFByZW1pdW0gU2VydmVyIENBMSgwJgYJKoZIhvcNAQkBFhlwcmVtaXVtLXNl
cnZlckB0aGF3dGUuY29tMB4XDTA2MTExNzAwMDAwMFoXDTIwMTIzMDIzNTk1OVow
gakxCzAJBgNVBAYTAlVTMRUwEwYDVQQKEwx0aGF3dGUsIEluYy4xKDAmBgNVBAsT
H0NlcnRpZmljYXRpb24gU2VydmljZXMgRGl2aXNpb24xODA2BgNVBAsTLyhjKSAy
MDA2IHRoYXd0ZSwgSW5jLiAtIEZvciBhdXRob3JpemVkIHVzZSBvbmx5MR8wHQYD
VQQDExZ0aGF3dGUgUHJpbWFyeSBSb290IENBMIIBIjANBgkqhkiG9w0BAQEFAAOC
AQ8AMIIBCgKCAQEArKDw+4BZ1JzHpM+doVlzCRBFDA0sbmjxbFtIaElZN/wLMxnC
d3/MEC2VNBzm600JpxzSuMmXNgK3idQkXwbAzESUlI0CYm/rWt0RjSiaXISQEHoN
vXRmL2o4oOLVVETrHQefB7pv7un9Tgsp9T6EoAHxnKv4HH6JpOih2HFlDaNRe+68
0iJgDblbnd+6/FFbC6+Ysuku6QToYofeK8jXTsFMZB7dz4dYukpPymgHHRydSsbV
L5HMfHFyHMXAZ+sy/cmSXJTahcCbv1N9Kwn0jJ2RH5dqUsveCTakd9h7h1BE1T5u
KWn7OUkmHgmlgHtALevoJ4XJ/mH9fuZ8lx3VnQIDAQABo4HCMIG/MA8GA1UdEwEB
/wQFMAMBAf8wOwYDVR0gBDQwMjAwBgRVHSAAMCgwJgYIKwYBBQUHAgEWGmh0dHBz
Oi8vd3d3LnRoYXd0ZS5jb20vY3BzMA4GA1UdDwEB/wQEAwIBBjAdBgNVHQ4EFgQU
e1tFz6/Oy3r9MZIaarbzRutXSFAwQAYDVR0fBDkwNzA1oDOgMYYvaHR0cDovL2Ny
bC50aGF3dGUuY29tL1RoYXd0ZVByZW1pdW1TZXJ2ZXJDQS5jcmwwDQYJKoZIhvcN
AQEFBQADgYEAhKhMyT4qvJrizI8LsiV3xGGJiWNa1KMVQNT7Xj+0Q+pjFytrmXSe
Cajd1FYVLnp5MV9jllMbNNkV6k9tcMq+9oKp7dqFd8x2HGqBCiHYQZl/Xi6Cweiq
95OBBaqStB+3msAHF/XLxrRMDtdW3HEgdDjWdMbWj2uvi42gbCkLYeA=
-----END CERTIFICATE-----


[...]

> Ich kann aus eigener Erfahrung bestätigen, dass es ohne viel Aufwand
> möglich ist in Apache, Postfix, Cyrus und Dovecot SSL/TLS entsprechend
> zu konfigurieren, dass die meisten Clients den Server authentifizieren
> können (auch wenn ein Intermediate-Zertifikat im Spiel ist).





Mehr Informationen über die Mailingliste Postfixbuch-users