[Postfixbuch-users] postfix/cyrus und thawte-ssl ...

Werner Detter werner at aloah-from-hell.de
Fr Mär 9 08:52:20 CET 2012 

Am 09.03.12 00:55, schrieb Mathias Jeschke:
> Am 08.03.12 22:13, schrieb Foo Bar:
> 
>> Wenn das möglich wär, hätte ich das schon gemacht ;(
> 
> [...]
> 
> Das war doch recht hilfreich:
> 
>> mj at datengrab:~$ echo quit | strace -efile openssl s_client -connect srv01.open-slx.com:993 2>&1 | egrep 'ssl|Verify return code'
>> execve("/usr/bin/openssl", ["openssl", "s_client", "-connect", "srv01.open-slx.com:993"], [/* 17 vars */]) = 0
>> open("/usr/lib/libssl.so.0.9.8", O_RDONLY) = 3
>> open("/usr/lib/ssl/openssl.cnf", O_RDONLY|O_LARGEFILE) = 3
>>     Verify return code: 20 (unable to get local issuer certificate)
> 
>> mj at datengrab:~$ echo quit | strace -efile openssl s_client -connect srv01.open-slx.com:993 -CApath /tmp 2>&1 | egrep 'ssl|Verify return code'
>> execve("/usr/bin/openssl", ["openssl", "s_client", "-connect", "srv01.open-slx.com:993", "-CApath", "/tmp"], [/* 17 vars */]) = 0
>> open("/usr/lib/libssl.so.0.9.8", O_RDONLY) = 3
>> open("/usr/lib/ssl/openssl.cnf", O_RDONLY|O_LARGEFILE) = 3
>> open("/usr/lib/ssl/cert.pem", O_RDONLY|O_LARGEFILE) = -1 ENOENT (No such file or directory)
>> stat64("/usr/lib/ssl/certs/c33a80d4.0", {st_mode=S_IFREG|0644, st_size=1155, ...}) = 0
>> open("/usr/lib/ssl/certs/c33a80d4.0", O_RDONLY|O_LARGEFILE) = 4
>> stat64("/usr/lib/ssl/certs/c33a80d4.1", 0xbedf8bb8) = -1 ENOENT (No such file or directory)
>>     Verify return code: 0 (ok)
> 
> Also ich weiß ja nicht welcher SSL-Client außer s_client bei Dir sonst
> noch Probleme macht, aber ein Verbindungsaufbau mit Firefox hat bei mir
> keine Problem verursacht (zumindest bis nach dem SSL-Handshake) und
> wie Du an obigem s_client-Aufruf siehst, scheint der Server so weit i.O.
> zu sein.
> 
> Einzig das Verhalten von s_client, wenn man keinen "-CApath" angibt,
> erschließt sich mir nicht ganz (könnte auch ein Bug sein).
> Wenn man irgendein Verzeichnis angibt (hier: /tmp) sucht openssl
> offenbar im Standardverzeichnis (/usr/lib/ssl/certs ist bei mir ein
> Symlink auf /etc/ssl/certs).

Wie ich anfangs erwähnt hatte, betrifft das nur die lokale Überprüfung mit s_client
da diesem das Thawtee-Root-CA nicht bekannt ist. Daher der Hinweis mit der Installation
des Thawtee-Root-CA's in die lokale OpenSSL-Installation.

Grüsse,
Werner

Mehr Informationen über die Mailingliste Postfixbuch-users