AW: verschlüsselter Austausch Server <-> Server
Markus Heinze
max at freecards.de
Di Jun 14 08:51:17 CEST 2016
Moin moin,
Am 2016-06-14 6:56, schrieb Ralf Eichler:
> Hallo Sebastian,
>
> wäre es möglich, dass es am .pfx hängt?
> Im TLS_Readme [1] finde ich auf die schnelle keine Empfehlung,
> intermediate-zertifikate wie von dir beschrieben auszuliefern.
> Damit dem Zertifikat vertraut wird, scheint smtp[d]_tls_CAPath
> verwendet zu werden.
>
> Schuss ins Blaue: domain.de.pfx so anpassen, dass nur "dein"
> Zertifikat enthalten ist.
>
> Grüße,
> Ralf
>
> [1] http://www.postfix.org/TLS_README.html
>
> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users
> [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von
> sebastian at debianfan.de
> Gesendet: Dienstag, 14. Juni 2016 06:43
> An: postfixbuch-users at listen.jpberlin.de
> Betreff: Re: verschlüsselter Austausch Server <-> Server
>
> Klar ;-)
>
> Ich wurde darauf hingewiesen, dass ich das Zertifikat für domain.de
> bekommen habe, ich aber mail.domain.de haben wollte.
>
> Also habe ich für *.domain.de nochmal ein Zertifikat beantragt und
> eingebaut.
>
> Thunderbird mäkelt beim IMAP nur herum, wenn ich domain.de als
> IMAP-Server angebe - bei imap.domain.de gehts problemlos.
>
> Das Wildcard-Zertifikat scheint also in Ordnung zu sein.
>
> Aber Postfix verhält sich jetzt anders - jetzt sagt er:
>
> Jun 14 06:31:17 debian postfix/smtpd[7027]: warning: cannot get RSA
> private key from file
> /root/xn--deiner-dta.de/postfix/xn--deiner-dta.de.key.priv: disabling
> TLS support Jun 14 06:31:17 debian postfix/smtpd[7027]: warning: TLS
> library
> problem: error:0B080074:x509 certificate
> routines:X509_check_private_key:key values mismatch:x509_cmp.c:341:
>
> Ich habe das Zertifikat geprüft:
>
> # openssl rsa -in domain.de.key.priv -check -noout RSA key ok
>
> In der main.cf steht:
>
> smtpd_tls_cert_file = domain.de.pfx
> smtpd_tls_key_file = domain.de.key.priv
>
> smtp_tls_cert_file = domain.de.pfx
> smtp_tls_key_file = domain.de.key.priv
>
> domain.de.key.priv ist mein privater Key (dort steht auch drin "BEGIN
> RSA PRIVATE KEY) und in die domain.de.pfx ist eine Kombination aus
> Intermediate Zertifikat und der Datei die von Startssl signiert
> zurückgekommen ist.
>
Also mir ist nicht bekannt das *ix Dienste PFX Dateien per default
unterstützen, da dies idR ein Klumpen aus Cert, Key und Cert Chain ist.
Meine Empfehlung wäre den Key aus der PFX mit openssl zu extrahieren
sowie das Cert und dessen Chain Certs, Key als x509 ablegen sowie alle
Certs ein einem File x509 Base64 encodiert ablegen, natürlich ohne
Passwort sondern mit passenden File Rechten und dann klappts auch mit
dem TLS. Btw. wenn ich mich recht entsinne stand in der Konfig noch
SSLv3 in der Chipherlist, raus damit bzw. ! davor.
>
> gruß
> Sebastian
>
>
lg max
> Am 13.06.2016 um 11:24 schrieb Max Grobecker:
>> Hi,
>>
>> hast du mal ein profanes
>>
>> smtp_use_tls=yes
>>
>> hinzugefügt?
>>
>>
>> Viele Grüße aus dem Tal
>> Max
>>
Mehr Informationen über die Mailingliste Postfixbuch-users