Re: Plötzliches Problem mit Zertifikat
Klaus Tachtler
klaus at tachtler.net
Di Mär 22 10:08:46 CET 2022
Hallo,
"alert certificate expired" sieht recht eindeutig aus.
Was sagt nachfolgender Befehl:
# openssl x509 -noout -text -in
> /etc/letsencrypt/live/wildcard.host[wildcard.host/chain.pem]
/cert.pem
(Falls vorhanden)
Das sollte das aktuelle Let's Encrypt Zertifikat, ohne Fullchain Kette sein?
.
Grüße
Klaus.
--
Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet.
Von: Achim Lammerts via Postfixbuch-users <postfixbuch-users at listen.jpberlin.de>
An: Achim Lammerts via Postfixbuch-users <postfixbuch-users at listen.jpberlin.de>
Kopie: Achim Lammerts <ml-pbu at syntaxys.de>
Datum: 22.03.2022 09:45:29
Betreff: Plötzliches Problem mit Zertifikat
> Hallo Liste,
> seit gestern kann ich plötzlich keine E-Mails mehr über Hostnamen versenden, die über SNI in Postfix eingebunden sind.
> Es gab jedoch keinerlei Änderungen in der Konfiguration und auch das Zertifikat ist noch Wochen lang gültig. Im Logfile wird folgendes ausgegeben:
>
> Mar 22 09:00:21 host postfix/smtps/smtpd[245606]: warning: TLS library problem: error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired:../ssl/record/rec_layer_s3.c:1543:
>
> Die SSL-Konfig lautet:
>
> smtpd_tls_cert_file = /etc/letsencrypt/live/wildcard.host/fullchain.pem
> smtpd_tls_key_file = /etc/letsencrypt/live/wildcard.host/privkey.pem
> smtpd_tls_CAfile = /etc/letsencrypt/live/wildcard.host/chain.pem
> tls_server_sni_maps = hash:/etc/postfix/sni
> smtpd_use_tls = yes
> smtp_use_tls = yes
> smtp_tls_note_starttls_offer = yes
> smtpd_tls_loglevel = 1
> smtpd_tls_received_header = yes
> smtpd_tls_session_cache_timeout = 3600s
> tls_random_source = dev:/dev/urandom
> smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
> smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
> smtp_tls_protocols = !SSLv2, !SSLv3
> smtpd_tls_protocols = !SSLv2, !SSLv3
> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
> smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
> smtpd_tls_dh1024_param_file = /etc/ssl/private/dhparams.pem
> smtpd_tls_security_level = may
> smtp_tls_security_level = may
>
> Über den realen Hostnamen klappt alles ohne Probleme.
>
> Mir brennt's ein bissl, da Kunden über ihren Domainnamen versenden. Vielen Dank für Eure Hilfe!
>
> --
> Wietse, I am so grateful.
--
---------------------------------------
e-Mail : klaus at tachtler.net
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------
Mehr Informationen über die Mailingliste Postfixbuch-users