Postfix TLS
Markus Heinze
max at freecards.de
Mo Mai 15 10:48:08 CEST 2017
Am 2017-05-15 10:34, schrieb Juri Haberland:
> On 2017-05-15 09:21, Markus Heinze wrote:
>> Moin moin,
>>
>> ich habe ein kleines Problem mit Postfix TLS. Am Wochenende habe ich
>> für meine private Domain einen vServer aufgesetzt mit letsencrypt
>> Zertifikat. Das läuft soweit alles wunderbar nur Postfix und Dovecot
>> mögen das Zertifikat nicht.
>> Das Zertifikat enthält alternative Einträge, sprich es ist für
>> <domainname>.tld, www.<domainname>.tld und mail.<domainname>.tld
>> ausgestellt. Wenn ich mich mit Thunderbird verbinde dann bekomme ich
>> folgende Meldungen im Log
>>
>> -->
>>
>> May 15 09:14:27 lumpi dovecot[26108]: pop3-login: Disconnected (no
>> auth attempts in 0 secs): user=<>, rip=1.2.3.4, lip=5.6.7.8, TLS:
>> SSL_read() failed: error:14094412:SSL routines:ssl3_read_bytes:sslv3
>> alert bad certificate: SSL alert number 42, session=<HRs8zopPnzuSAHlx>
>>
>> May 15 09:16:11 lumpi postfix/smtpd[2676]: warning: TLS library
>> problem: error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad
>> certificate:s3_pkt.c:1493:SSL alert number 42:
>> May 15 09:16:11 lumpi postfix/smtpd[2676]: lost connection after
>> STARTTLS from unknown[1.2.3.4]
>
> Ein kurzes googlen erbringt, daß ein "SSL alert" letztlich eine
Ich habe mehr als kurz gegoogelt.
> Rückmeldung des Clients (also Thunderbird) ist, der aus welchen
Ja aber warum mag er das nicht, möglicherweise ist der Server nicht
korrekt konfiguriert.
> Gründen auch immmer, nicht glücklich mit dem Zertifikat ist.
>
> Vermutlich lieferst du nicht die Intermediate-Zertifikate mit aus, die
> benötigt werden, um die ganze Kette vom Root-Zertifikat bis zu deinem
> Zertifikat zu verifizieren - du mußt die Datei fullchain.pem benutzen!
Ja das ist klar, ist auch so eingestellt.
>
> Grüße,
> Juri
lg M.Heinze
Mehr Informationen über die Mailingliste Postfixbuch-users