Frage zur CA von letsencrypt

Andreas Meyer anmeyer at mailbox.org
Fr Aug 12 23:03:58 CEST 2016


Hallo Werner!

Werner Flamme <w.flamme at web.de> schrieb am 12.08.16 um 22:18:07 Uhr:

> > und auf dem empfangenden mit dem Zertifikat von letsencrypt ein
> > Aug 12 18:20:21 bitwater1 postfix/smtpd[15977]: Untrusted TLS connection established from unknown[46.38.231.143]:
> > 
> > Warum ist das so? 
> 
> Die Maschine "bitwater1" hat eine eingehende TLS-Verbindung von Host
> "46.38.231.143" (das ist übrigens mail.nimmini.de). Dabei wird ein
> Zertifikat vorgelegt, dessen CA postfix nicht bekannt ist. Dem kann man
> mit den Parametern smtpd_tls_CAfile bzw. smtpd_tls_CApath auf Host
> bitwater1 abhelfen, wenn es sich nicht z. B. um ein selbstsigniertes
> Zertifikat handelt.

Danke für diese schöne Erklärung, das erleichtert mir einiges.

> > Die ist in smtpd_tls_CApath = /var/lib/ca-certificates/pem nicht zu finden.
> 
> Dann suche sie mal und setze den Pfad entsprechend - oder verlinke sie
> in das Verzeichnis und führe dort c_rehash aus.

Ich habe das lets-encrypt-x3-cross-signed.pem.txt auf den Server kopiert
und in /var/lib/ca-certificates/pem als lets-encrypt-x3-cross-signed.pem
gespeichert und ein c_rehash . ausgeführt. Hat geklappt.

Bei Postfix ist smtpd_tls_CApath = /var/lib/ca-certificates/pem eingetragen.

Aber ich erhalte

Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: connect from mail.nimmini.de[46.38.231.143]
Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: Untrusted TLS connection established from mail.nimmini.de[46.38.231.143]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: 271E9222BE: client=mail.nimmini.de[46.38.231.143]
Aug 12 22:54:48 bitwater1 postfix/cleanup[17970]: 271E9222BE: message-id=<20160812225443.77f4ae3e at workstation.bitcorner.intern>
Aug 12 22:54:48 bitwater1 postfix/qmgr[17552]: 271E9222BE: from=<a.meyer at nimmini.de>, size=2062, nrcpt=1 (queue active)
Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: disconnect from mail.nimmini.de[46.38.231.143]
Aug 12 22:54:48 bitwater1 postfix/local[17971]: 271E9222BE: to=<andreas at bitwater.de>, relay=local, delay=0.04, delays=0.02/0/0/0.02, dsn=2.0.0, status=sent (delivered to mailbox)

so sieht der Part in der main.cf aus:

smtpd_use_tls = yes
smtpd_tls_loglevel = 1
smtpd_tls_security_level = may
smtpd_tls_auth_only = no
smtpd_tls_CAfile = /etc/letsencrypt/archive/bitwater.de/fullchain1.pem
smtpd_tls_CApath = /var/lib/ca-certificates/pem
smtpd_tls_cert_file = /etc/letsencrypt/archive/bitwater.de/fullchain1.pem
smtpd_tls_key_file = /etc/letsencrypt/archive/bitwater.de/privkey1.pem
smtpd_tls_ask_ccert = yes
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_tls_session_cache
smtpd_tls_session_cache_timeout = 3600s

Ich bin etwas ratlos.

Grüße

  Andreas




Mehr Informationen über die Mailingliste Postfixbuch-users