Postfix TLS

[Markus Heinze]

Am 2017-05-15 10:34, schrieb Juri Haberland:
> On 2017-05-15 09:21, Markus Heinze wrote:
>> Moin moin,
>> 
>> ich habe ein kleines Problem mit Postfix TLS. Am Wochenende habe ich
>> für meine private Domain einen vServer aufgesetzt mit letsencrypt
>> Zertifikat. Das läuft soweit alles wunderbar nur Postfix und Dovecot
>> mögen das Zertifikat nicht.
>> Das Zertifikat enthält alternative Einträge, sprich es ist für
>> <domainname>.tld, www.<domainname>.tld und mail.<domainname>.tld
>> ausgestellt. Wenn ich mich mit Thunderbird verbinde dann bekomme ich
>> folgende Meldungen im Log
>> 
>> -->
>> 
>> May 15 09:14:27 lumpi dovecot[26108]: pop3-login: Disconnected (no
>> auth attempts in 0 secs): user=<>, rip=1.2.3.4, lip=5.6.7.8, TLS:
>> SSL_read() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3
>> alert bad certificate: SSL alert number 42, session=<HRs8zopPnzuSAHlx>
>> 
>> May 15 09:16:11 lumpi postfix/smtpd[2676]: warning: TLS library
>> problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad
>> certificate:s3_pkt.c:1493:SSL alert number 42:
>> May 15 09:16:11 lumpi postfix/smtpd[2676]: lost connection after
>> STARTTLS from unknown[1.2.3.4]
> 
> Ein kurzes googlen erbringt, daß ein "SSL alert" letztlich eine

Ich habe mehr als kurz gegoogelt.

> Rückmeldung des Clients (also Thunderbird) ist, der aus welchen

Ja aber warum mag er das nicht, möglicherweise ist der Server nicht 
korrekt konfiguriert.

> Gründen auch immmer, nicht glücklich mit dem Zertifikat ist.
> 
> Vermutlich lieferst du nicht die Intermediate-Zertifikate mit aus, die
> benötigt werden, um die ganze Kette vom Root-Zertifikat bis zu deinem
> Zertifikat zu verifizieren - du mußt die Datei fullchain.pem benutzen!

Ja das ist klar, ist auch so eingestellt.

> 
> Grüße,
>   Juri

lg M.Heinze