[Postfixbuch-users] postfix/cyrus und thawte-ssl ...
Mathias Jeschke
postfixbuch-users at gmj.cjb.net
Fr Mär 9 10:23:22 CET 2012
Am 09.03.12 10:05, schrieb Foo Bar:
>> Da es mit den von mir getesteten OpenSSL-Installationen
>> (ohne jegliche Anpassungen) funktioniert, ist entweder
>> Deine Installation kaputt oder hoffnungslos veraltet.
>
> Bei mir ist es openSUSE 12.1 ... hmm
Was ergibt denn:
$ echo quit | strace -efile openssl s_client \
-connect srv01.open-slx.com:993 -CApath /tmp 2>&1 \
| egrep 'ssl|Verify return code'
bei Dir?
Wenn in der letzte Zeile "Verify return code: 0 (ok)" steht,
ist bis auf den "-CApath-Bug" alles i.O. mit den Zertifikaten.
Noch einmal deutlicher:
Werner ist der Meinung, man müsse das Thawte-Zertifikat lokal
installieren - dem widerspreche ich hiermit, sofern die
Zertifikate nicht veraltet sind!
Und das hieße von vor ~ 1996:
$ openssl x509 -noout -text < /usr/lib/ssl/certs/c33a80d4.0 \
| grep -A2 Validity
Validity
Not Before: Aug 1 00:00:00 1996 GMT
Not After : Dec 31 23:59:59 2020 GMT
Das davon völlig losgelöste Problem ist halt das Verhalten
von s_client, wenn man -CApath nicht angibt, zumindest wohl
unter Linux (und evtl. anderen Distributionen)
Cheers,
Mathias
Mehr Informationen über die Mailingliste Postfixbuch-users