Frage zur CA von letsencrypt

[Werner Flamme]

Am 13.08.2016 um 10:27 schrieb Andreas Meyer:
> 
> Ich habe das Zertifikat von StartCom, das ich so zusammengesetzt hatte
> cat nimminicrt.pem sub.class1.server.ca.pem ca.pem > nimminichain.pem
> 
> ersetzt durch ein Zertifikat von letsencrypt und die Verbindung ist
> jetzt trusted.
> 
> Aug 13 10:22:54 bitwater1 postfix/smtpd[21522]: Trusted TLS connection established from mail.nimmini.de[46.38.231.143]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
> 
> Es lag also entweder am Zertifikat von StartCom oder an der von mir
> erzeugten Kette.

Oder daran, dass CAfile den CApath übersteuert. Ich meine das mal
gelesen zu haben, auch wenn es aktuell als Ergänzung zu verstehen ist.

Ach so, und wenn Du smtpd im chroot betreibst, muss CApath innerhalb des
chroot liegen, wenn ich die Doku richtig verstehe. CAfile wird vor dem
Abtauchen ins chroot gelesen. Plus: alle Dateien in CApath müssen vom
User postfix gelesen werden dürfen. Ich hatte mal mitten im Pfad ein
Verzeichnis, das dazu unpassende Berechtigungen hatte...

Gruß
Werner
--