Frage zur CA von letsencrypt
Andreas Meyer
anmeyer at mailbox.org
Sa Aug 13 10:27:32 CEST 2016
Andreas Meyer <anmeyer at mailbox.org> schrieb am 13.08.16 um 09:50:01 Uhr:
> > Der Teil von Postfix, der mit bitwater1 Kontakt aufnimmt, ist aber smtp,
> > ohne d hinten dran ;). Hast Du denn die entsprechenden smtp_-Parameter
> > auf mail.nimmini.de gesetzt? Siehe z. B.
> > <http://www.postfix.org/postconf.5.html#smtp_tls_cert_file>.
>
> Dieser Teil sieht so aus:
>
> smtp-nimi unix - - n - - smtp
> -o smtp_bind_address=46.38.231.143
> -o smtp_helo_name=mail.nimmini.de
> -o syslog_name=postfix-smtp-nimi
> -o smtp_use_tls=yes
> -o smtp_dns_support_level=dnssec
> -o smtp_tls_security_level=dane
> -o smtp_tls_note_starttls_offer=yes
> -o smtp_tls_key_file=/etc/postfix/certs/startsslkeys/nimmini/nimminikey.pem
> -o smtp_tls_cert_file=/etc/postfix/certs/startsslkeys/nimmini/nimminichain.pem
> -o smtp_tls_CAfile=/etc/postfix/certs/startsslkeys/nimmini/ca.pem
> -o smtp_tls_CApath=/var/lib/ca-certificates/pem
>
> Viele Varianten durchprobiert, die Verbindung bleibt aus Empfängersicht
> untrusted, was ja der Sendersicht widerspricht.
Ich habe das Zertifikat von StartCom, das ich so zusammengesetzt hatte
cat nimminicrt.pem sub.class1.server.ca.pem ca.pem > nimminichain.pem
ersetzt durch ein Zertifikat von letsencrypt und die Verbindung ist
jetzt trusted.
Aug 13 10:22:54 bitwater1 postfix/smtpd[21522]: Trusted TLS connection established from mail.nimmini.de[46.38.231.143]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Es lag also entweder am Zertifikat von StartCom oder an der von mir
erzeugten Kette.
Grüße
Andreas
Mehr Informationen über die Mailingliste Postfixbuch-users