[Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES
Ralf Hansen
ralf.hansen2000 at yahoo.de
Do Mai 21 10:59:17 CEST 2015
Hallo Roland,
vielen Dank für die ausführlichen Tipps.
Vermutlich liegt mein Problem an der Reverse-DNS-Auflösung (sprich: dig
-x 10.100.120.251).
Es gibt in diesem Umfeld kein DNS/Reverse-DNS und ich kenne keinen Weg,
meinen Host hier zu überlisten, da die /etc/hosts Datei ja nur
vorwärts-Auflösung macht.
Dann kann ich da vermutlich nichts tun oder hat noch jemand ne Idee?
Die Zertifikatskette ist soweit schlüssig und alle Zertifikate sind
eingebunden, daher ergibt der manuelle Test mit "openssl s_client" auch
keine Fehler. ("Verify return code: 0 (ok)"),
aber vermutlich wird hier nicht reverse-DNS geprüft.
Postfix läuft nicht im chroot...
Schöne Grüße, Ralf
Am 15.05.2015 um 18:52 schrieb Roland Schnabel:
> Hallo Ralf,
>
> ich würde mal folgende Punkte prüfen:
>
> 1.
> "tls_append_default_CA = yes" beim SMTP-Client setzen. Das hatte bei
> mir mal ähnliche Probleme verursacht.
>
> 2.
> Ist der DNS-Name im Server-Zertifikat (ggf. unter Alternate DNS-Names)
> auch derjenige, den der SMTP-Client per DNS auflösen kann? (sprich:
> dig -x 10.100.120.251)
>
> 3.
> Bei der Ausgabe von "openssl s_client ..." auf dem SMTP-Client nochmal
> GENAU die gesamte Zertifikatskette prüfen. Die wird gleich am Anfang
> ausgegeben. Falls dort Fehler auftreten, gibt das ähnliche Probleme.
>
> 4.
> Sicherstellen dass das Zertifikatsverzeichnis auch wirklich vom
> Postfix gelesen werden kann (s. Chroot-Umgebung von Postfix, selinux,
> Apparmor, etc.).
>
> Viele Grüße,
> Roland
>
>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150521/45d12ffe/attachment.html>
Mehr Informationen über die Mailingliste Postfixbuch-users