[Postfixbuch-users] Frage zu OpenSSL

[André Peters]

Hi,

du musst das Zertifikat der CA nicht mitgeben, wenn es den Clients 
bekannt ist:

	If the client trusts the root CA, it will already have a local 	copy of 
the root CA certificate. Omitting the root CA certificate reduces the 
size of the server TLS handshake.

Allgemein prüfst du mit "smtpd_tls_CAfile", ob SMTP clients ein valides 
Zertifikat für die Anmeldung verwenden. Sowas scheinst du ja auch gar 
nicht zu verwenden.

Du musst das Problem an einem Client debuggen. Zu sagen, dass die 
Clients dem Zertifikat nicht vertrauen, reicht nicht aus. :-)

Am besten löschen die Clients das alte Zertifikat einmal aus ihrem 
Speicher und ziehen dann das neue. Ich glaube, dass ich solche Probleme 
mal mit Thunderbird hatte.

Viele Grüße und schönes fast-Wochenende
André

Am 13.03.2015 um 10:05 schrieb Andre Tann:
> Moin,
>
> Am 13.03.2015 um 09:22 schrieb Winfried Neessen:
>
>>> Postfix ist neu gestartet. Warum beschweren sich die Clients trotzdem,
>>> daß das Zertifikat ungültig sei?
>>>
>> Weil das Zertifikat selbstsigniert ist. Damit die Clients dem Zertifikat
>> vertrauen, muss das CA Zerifikat im Windows Truststore vorhanden sein, bzw.
>> wenn der Client (wie z. B. Thunderbird) einen eignenen Truststore vorhaelt,
>> in diesem.
>
> Hatte ich nicht dazugeschrieben: die CA ist auf dem Client installiert.
> Und das Zertifikat, das zuvor von Postfix verwendet wurde, wurde ja auch
> akzeptiert vom Client. Aber das ist jetzt abgelaufen, und ich bekomme
> kein neues ans Laufen.
>
>
> Wie kann man denn "zu Fuß" nachvollziehen, was der Client vom
> Postfix/Dovecot präsentiert kriegt, und es gegen den Key der root-CA prüfen?
>

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5622 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150313/374b8d49/attachment.p7s>