[Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES

Fr Mai 15 18:52:11 CEST 2015

Hallo Ralf,

ich würde mal folgende Punkte prüfen:

1.
"tls_append_default_CA = yes" beim SMTP-Client setzen. Das hatte bei mir 
mal ähnliche Probleme verursacht.

2.
Ist der DNS-Name im Server-Zertifikat (ggf. unter Alternate DNS-Names) 
auch derjenige, den der SMTP-Client per DNS auflösen kann? (sprich: dig 
-x 10.100.120.251)

3.
Bei der Ausgabe von "openssl s_client ..." auf dem SMTP-Client nochmal 
GENAU die gesamte Zertifikatskette prüfen. Die wird gleich am Anfang 
ausgegeben. Falls dort Fehler auftreten, gibt das ähnliche Probleme.

4.
Sicherstellen dass das Zertifikatsverzeichnis auch wirklich vom Postfix 
gelesen werden kann (s. Chroot-Umgebung von Postfix, selinux, Apparmor, 
etc.).

Viele Grüße,
Roland

On 15.05.2015 17:56, Ralf Hansen wrote:
>
> Hallo zusammen,
>
>
> ich bin schon seit Tagen dabei aber bekomme es trotz Geduld und Google 
> einfach nicht hin.
> Ich verwende Postfix 2.9.4 in einem Multi-Instance-Setup auf SLES 11.3 
> (kein chroot).
>
> Innerhalb unseres Firmennetzes werden selbst signierte Zertifikate 
> unserer eigenen CA eingesetzt.
>
> Wenn ich vom Mailserver "mailsrv" eine Mail an 10.100.120.251 sende, 
> erhalte ich eine "Untrusted TLS connection".
>
> May 15 17:39:33 mailsrv postfix-instanz01/smtp[47812]: Untrusted TLS 
> connection established to 10.100.120.251[10.100.120.251]:25: TLSv1 
> with cipher ADH-AES256-SHA (256/256 bits)
>
> Ich würde aber gerne eine "Trusted Connection" erreichen.
>
> Folgendes habe ich versucht:
>
> Das Zertifikat "meineRootCA.pem" in /etc/ssl/certs/meineRootCA.pem 
> abgelegt.
>
> # Neu hashen der Zertifikate
>
> c_rehash /etc/ssl/certs/
>
> Danach ergibt ein manueller Test
>
> openssl s_client -starttls smtp -connect 10.100.120.251:25
>
> auch die Ausgabe "Verify return code: 0 (ok)", d.h. das System scheint 
> das Zertifikat der Root-CA anerkannt zu haben.
>
> Postfix main.cf
>
> ---------------
>
> smtp_tls_security_level = may
>
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
>
> smtp_tls_loglevel = 1
>
> smtp_tls_CAfile = /etc/ssl/certs/meineRootCA.pem
>
> smtp_tls_CApath = /etc/ssl/certs/
>
>
>
> Trotz Postfix-restart, weiterhin ein "Untrusted TLS connection 
> established".
>
> Auch wenn ich die Zertifikate ins Postfix-Verzeichnis kopiere und die 
> Pfade der main.cf dorthin anpasse ändert sich nichts.
>
>
> Das Relaying in der Transport-Map erfolgt auf eine Ziel-IP statt eines 
> DNS-Namens.
>
> Ich hatte schon die Befürchtung dass es daran liegen könnte und habe 
> einen entsprechenden /etc/hosts Eintrag erstellt und in der 
> transport-Datei auf den DNS-Namen verwiesen, aber auch kein Erfolg... :-(
>
> Warum vertraut mein System mitterweile unserer Root-CA, aber Postfix 
> nicht?
>
> Was kann ich noch tun?
>
> Danke im Voraus
>
> Ralf
>
>
>

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150515/939bfb99/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4258 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150515/939bfb99/attachment.p7s>