Postfix TLS

Juri Haberland juri at koschikode.com
Mo Mai 15 10:34:30 CEST 2017


On 2017-05-15 09:21, Markus Heinze wrote:
> Moin moin,
> 
> ich habe ein kleines Problem mit Postfix TLS. Am Wochenende habe ich
> für meine private Domain einen vServer aufgesetzt mit letsencrypt
> Zertifikat. Das läuft soweit alles wunderbar nur Postfix und Dovecot
> mögen das Zertifikat nicht.
> Das Zertifikat enthält alternative Einträge, sprich es ist für
> <domainname>.tld, www.<domainname>.tld und mail.<domainname>.tld
> ausgestellt. Wenn ich mich mit Thunderbird verbinde dann bekomme ich
> folgende Meldungen im Log
> 
> -->
> 
> May 15 09:14:27 lumpi dovecot[26108]: pop3-login: Disconnected (no
> auth attempts in 0 secs): user=<>, rip=1.2.3.4, lip=5.6.7.8, TLS:
> SSL_read() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3
> alert bad certificate: SSL alert number 42, session=<HRs8zopPnzuSAHlx>
> 
> May 15 09:16:11 lumpi postfix/smtpd[2676]: warning: TLS library
> problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad
> certificate:s3_pkt.c:1493:SSL alert number 42:
> May 15 09:16:11 lumpi postfix/smtpd[2676]: lost connection after
> STARTTLS from unknown[1.2.3.4]

Ein kurzes googlen erbringt, daß ein "SSL alert" letztlich eine 
Rückmeldung des Clients (also Thunderbird) ist, der aus welchen Gründen 
auch immmer, nicht glücklich mit dem Zertifikat ist.

Vermutlich lieferst du nicht die Intermediate-Zertifikate mit aus, die 
benötigt werden, um die ganze Kette vom Root-Zertifikat bis zu deinem 
Zertifikat zu verifizieren - du mußt die Datei fullchain.pem benutzen!

Grüße,
   Juri



Mehr Informationen über die Mailingliste Postfixbuch-users