[Postfixbuch-users] Untrusted TLS connection mit eigener Root-CA unter SLES
Patrick Ben Koetter
p at sys4.de
Do Mai 21 11:29:42 CEST 2015
Hat Dein smtp-Client Zugriff auf die Zertifikate über smtp_tls_CAfile? Wenn
nicht, dann kann er sein gegenüber nicht identifizieren und loggt "untrusted".
p at rick
* Ralf Hansen <postfixbuch-users at listen.jpberlin.de>:
> Hallo Roland,
>
> vielen Dank für die ausführlichen Tipps.
>
> Vermutlich liegt mein Problem an der Reverse-DNS-Auflösung (sprich:
> dig -x 10.100.120.251).
> Es gibt in diesem Umfeld kein DNS/Reverse-DNS und ich kenne keinen
> Weg, meinen Host hier zu überlisten, da die /etc/hosts Datei ja nur
> vorwärts-Auflösung macht.
> Dann kann ich da vermutlich nichts tun oder hat noch jemand ne Idee?
>
> Die Zertifikatskette ist soweit schlüssig und alle Zertifikate sind
> eingebunden, daher ergibt der manuelle Test mit "openssl s_client"
> auch keine Fehler. ("Verify return code: 0 (ok)"),
> aber vermutlich wird hier nicht reverse-DNS geprüft.
>
> Postfix läuft nicht im chroot...
>
> Schöne Grüße, Ralf
>
>
>
> Am 15.05.2015 um 18:52 schrieb Roland Schnabel:
> >Hallo Ralf,
> >
> >ich würde mal folgende Punkte prüfen:
> >
> >1.
> >"tls_append_default_CA = yes" beim SMTP-Client setzen. Das hatte
> >bei mir mal ähnliche Probleme verursacht.
> >
> >2.
> >Ist der DNS-Name im Server-Zertifikat (ggf. unter Alternate
> >DNS-Names) auch derjenige, den der SMTP-Client per DNS auflösen
> >kann? (sprich: dig -x 10.100.120.251)
> >
> >3.
> >Bei der Ausgabe von "openssl s_client ..." auf dem SMTP-Client
> >nochmal GENAU die gesamte Zertifikatskette prüfen. Die wird gleich
> >am Anfang ausgegeben. Falls dort Fehler auftreten, gibt das
> >ähnliche Probleme.
> >
> >4.
> >Sicherstellen dass das Zertifikatsverzeichnis auch wirklich vom
> >Postfix gelesen werden kann (s. Chroot-Umgebung von Postfix,
> >selinux, Apparmor, etc.).
> >
> >Viele Grüße,
> >Roland
> >
> >
> >
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
--
[*] sys4 AG
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste Postfixbuch-users