[Postfixbuch-users] postfix/cyrus und thawte-ssl ...

[Foo Bar]

On 03/09/2012 10:23 AM, Mathias Jeschke wrote:
> Am 09.03.12 10:05, schrieb Foo Bar:
> 
>>> Da es mit den von mir getesteten OpenSSL-Installationen
>>> (ohne jegliche Anpassungen) funktioniert, ist entweder
>>> Deine Installation kaputt oder hoffnungslos veraltet.
>>
>> Bei mir ist es openSUSE 12.1 ... hmm
> 
> Was ergibt denn:
> 
> $ echo quit | strace -efile openssl s_client \
> -connect srv01.open-slx.com:993 -CApath /tmp 2>&1 \
> | egrep 'ssl|Verify return code'
> 
> bei Dir?
> 
> Wenn in der letzte Zeile "Verify return code: 0 (ok)" steht,
> ist bis auf den "-CApath-Bug" alles i.O. mit den Zertifikaten.

Ja, der return ist 0 wenn ich mit "-CApath /etc/ssl/certs" arbeite.
Sonst halt 20 ...

> Noch einmal deutlicher:
> Werner ist der Meinung, man müsse das Thawte-Zertifikat lokal
> installieren - dem widerspreche ich hiermit, sofern die
> Zertifikate nicht veraltet sind!

Das ist richtig, du must das Thawte-Zertifikat nicht hinkopieren,
nur "-CApath /etc/ssl/certs" muß man angeben ...

> Und das hieße von vor ~ 1996:
> 
> $ openssl x509 -noout -text < /usr/lib/ssl/certs/c33a80d4.0 \
> | grep -A2 Validity
>         Validity
>             Not Before: Aug  1 00:00:00 1996 GMT
>             Not After : Dec 31 23:59:59 2020 GMT
> 
> 
> Das davon völlig losgelöste Problem ist halt das Verhalten
> von s_client, wenn man -CApath nicht angibt, zumindest wohl
> unter Linux (und evtl. anderen Distributionen)