dovecot: imap-login // SSL_get_servername
Nico Funke
nico.funke at spun-industries.de
So Sep 8 00:28:27 CEST 2024
Hi Markus,
ich schreib dir mal so damit der Kreis etwas kleiner ist.
Die Domain heißt anarchydica.net und ist soweit nicht geheimnisvoll,
nur soll die Konfiguration so weit wie möglich unbekannt bleiben.
Ich gehe zwar nicht davon aus, dass es jemand was nützt. Aber man
weiß ja nie. Auch leider nie wer still mitliest.
Ich hoffe ich nerve dich jetzt nicht zu sehr.
Das ist die Ausgabe:
echo QUIT | openssl s_client -connect mail.anarchydica.net:993
CONNECTED(00000003)
depth=0 CN = anarchydica.net
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = anarchydica.net
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 CN = anarchydica.net
verify return:1
---
Certificate chain
0 s:CN = anarchydica.net
i:C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte
TLS RSA CA G1
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Jun 28 00:00:00 2024 GMT; NotAfter: Jun 27 23:59:59
2025 GMT
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=CN = anarchydica.net
issuer=C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte
TLS RSA CA G1
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 2139 bytes and written 406 bytes
Verification error: unable to verify the first certificate
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 21 (unable to verify the first certificate)
---
DONE
Best,
Am 07.09.24 um 18:09 schrieb Markus Winkler via Postfixbuch-users:
> Hallo Nico,
>
> On 07.09.24 17:45, Nico Funke via Postfixbuch-users wrote:
>>
>> Ich habe mit dem Befehl, dass .pem generiert und hinterlegt.
>>
>> Dann habe ich mit und ohne der Option "local_name" das ganze
>> getestet.
>> Hat leider nicht funktioniert.
>
> local_name benötigst Du nur dann, wenn Du mehrere SSL-Certs auf
> derselben IP-Adresse nutzen willst.
>
>> Ich habe sicherheitshalber, wegen dem SNA (Subject Alternative Name)
>> was du angesprochen hast geschaut.
>> Es ist die die entsprechende Domain und noch die www Version
>> vorhanden.
>
> Schade, dass Du sie leider nicht nennen magst ...
>
> Hast Du denn mit openssl s_client ... mal getestet, ob nun die
> komplette Cert-Chain angezeigt wird?
>
> Und ebenfalls entscheidend ist: Was trägst Du denn als Servername bei
> Deinem Thunderbird ein? Diesen Punkt hatte ich ja vorhin schon als
> mögliche Fehlerquelle angesprochen. Da rätseln "wir" aber weiterhin
> herum.
>
>> Bist du jedoch sicher das ich das .pem under "ssl_cert" und nicht
>> unter
>> "ssl_ca" hinterlegen sollte?
>
> Ja, da bin ich mir sicher. ;-)
>
> https://doc.dovecot.org/2.3/configuration_manual/dovecot_ssl_configuration/#chained-ssl-certificates
>
>
> Viele Grüße
> Markus
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240908/198e7efd/attachment-0001.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : OpenPGP_0x4D3C97B6BADFB93E.asc
Dateityp : application/pgp-keys
Dateigröße : 3927 bytes
Beschreibung: OpenPGP public key
URL : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240908/198e7efd/attachment-0001.skr>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : OpenPGP_signature.asc
Dateityp : application/pgp-signature
Dateigröße : 840 bytes
Beschreibung: OpenPGP digital signature
URL : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20240908/198e7efd/attachment-0001.asc>
Mehr Informationen über die Mailingliste Postfixbuch-users