<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Sehr schön :)</div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">Dafür leg ich mir gleich mal nen Steak auf dem Grill;)</div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">Grüße!<br><br>Von <span style="font-size: 13pt;">unterwegs gesendet</span><div>Sent from mobile<br><div><div><br></div></div></div></div><div><br>Am 15.06.2016 um 23:45 schrieb "<a href="mailto:sebastian@debianfan.de">sebastian@debianfan.de</a>" <<a href="mailto:sebastian@debianfan.de">sebastian@debianfan.de</a>>:<br><br></div><blockquote type="cite"><div><span>der Preis des Abends geht an Torben - jetzt läufts :-)</span><br><span></span><br><span>Am 15.06.2016 um 09:03 schrieb Torben Dannhauer:</span><br><blockquote type="cite"><span>Hi</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Ich habe ein Class II Zert bei StartSSL und nutze es für Dovecot und Postfix</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Dann kannst du dir ein Zert mit SANs und Wildcards erstellen für 59 USD. Dann hast gleich die Sub Domains wie imap., smtp. und pop. mit abgesichert.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Man zahl nicht per Zertifikat sondern für den Aufwand der personal identity validation (59USD). Man kann dann beliebig viele Certs kostenlos erstellen für den Preis innerhalb der gültigen Validierungsperiode (300 Tage gültig.) Man muss nur Owner der Domain sein - da reagieren sie sehr empfindlich.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Mein Zert mit 3 SANs (in der Summe also 4 Einträge) schaut so aus:</span><br></blockquote><blockquote type="cite"><span>Domain1.tld</span><br></blockquote><blockquote type="cite"><span>*.Domain1.tld</span><br></blockquote><blockquote type="cite"><span>Domain2.tld</span><br></blockquote><blockquote type="cite"><span>*.Domain2.tld</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Wenn man sein StartSSL Zert nun in den Händen hält (pem Format), kann man es so aufbereiten für Dovecot, Postfix und Apache:</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Kombinieren des CA-root und -intermediate files in ein CA bundle file (wichtig: Class I Zertifikate brauchen Class I intermediate, Class II Zertifikate das zugehörige Class II intermediate Zert!!):</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span> cat startssl-intermediate.sha2.pem.crt startssl-root.pem.crt > startssl-CAbundle.pem.crt</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Kombinieren des Serverzertifikates und des eben erstellten CA bundles für Dovecot:</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span> cat your-cert.pem.crt startssl-CAbundle.pem.crt > your-cert.dovecot.pem.crt</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Ich habs in dovecot die SSL/TLS-Konfiguration dann so gelöst:</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Schönes Tutorial für Perfect Foward Secrecy: <a href="http://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/">http://www.heinlein-support.de/blog/security/perfect-forward-secrecy-pfs-fur-postfix-und-dovecot/</a></span><br></blockquote><blockquote type="cite"><span> </span><br></blockquote><blockquote type="cite"><span># vim /etc/dovecot/conf.d/10-ssl.conf:</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>ssl = required</span><br></blockquote><blockquote type="cite"><span>ssl_cert = </etc/ssl/certs/ your-cert.dovecot.pem.crt</span><br></blockquote><blockquote type="cite"><span>ssl_key = </etc/ssl/private/ your-cert.dovecot.key</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Erweitern des Logs um den Parameter %k um den verwendeten Cipher sehen zu können:</span><br></blockquote><blockquote type="cite"><span> </span><br></blockquote><blockquote type="cite"><span>vim /etc/dovecot/conf.d/10-logging.conf</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>login_log_format_elements = "user=<%u> method=%m rip=%r lip=%l mpid=%e %c %k"</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Bei CAs mit Intermediate-Zertifikaten (z.B. <a href="http://startssl.com">startSSL.com</a>), müssen die Zertifikate entsprechend der Reihenfolge</span><br></blockquote><blockquote type="cite"><span>der Zertifikatskette in die Zert-Datei eintragen werden, beginnend mit dem eigentlichen Serverzertifikat gefolgt vom nächst höheren Zertifikat bis zum höchsten Zertifikat am Ende.</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Ergänzen der Einstellungen dann ggfs. um die Ciphers und Empfehlungen von <a href="http://bettercrypto.org">bettercrypto.org</a></span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>...</span><br></blockquote><blockquote type="cite"><span>soweit ein dirty brain dump von mir</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>LG,</span><br></blockquote><blockquote type="cite"><span>Torben</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>-----Ursprüngliche Nachricht-----</span><br></blockquote><blockquote type="cite"><span>Von: Postfixbuch-users [<a href="mailto:postfixbuch-users-bounces@listen.jpberlin.de">mailto:postfixbuch-users-bounces@listen.jpberlin.de</a>] Im Auftrag von <a href="mailto:sebastian@debianfan.de">sebastian@debianfan.de</a></span><br></blockquote><blockquote type="cite"><span>Gesendet: Dienstag, 14. Juni 2016 22:59</span><br></blockquote><blockquote type="cite"><span>An: <a href="mailto:postfixbuch-users@listen.jpberlin.de">postfixbuch-users@listen.jpberlin.de</a></span><br></blockquote><blockquote type="cite"><span>Betreff: Re: verschlüsselter Austausch Server <-> Server</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Es liegt an den Zertifikaten (am Inhalt) - ich habe diese nochmal neu generiert - jedoch meckert er jetzt herum:</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>SSL3 alert read:fatal:bad certificate</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Hat einer von Euch ein HowTo in welchem beschrieben wird, wie mittels StartSSL ein Wildcard Level 2 Zertifikat erstellt und in Postfix eingebunden wird?</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Ich bin wie folgt vorgegangen:</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>openssl genrsa -out domainname-private-ssl.key 4096</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>openssl req -new -key domainname-private-ssl.key -out domainname.csr</span><br></blockquote><blockquote type="cite"><span>---> hier als Domainnamen *.<a href="http://domain.de">domain.de</a> angegeben</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>--> den CSR bei StartSSL eingereicht</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>die OtherServers.zip entpackt</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>mein Privater Key ist die eine Datei für Postfix</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>die Kombination aus dem signierten Schlüssel von StartSSL und dem <a href="https://www.startssl.com/certs/der/sca.server2.crt">https://www.startssl.com/certs/der/sca.server2.crt</a> ist die zweite Datei</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Scheinbar gibts hier Probleme - das funktioniert halt nicht :-/</span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span></span><br></blockquote><blockquote type="cite"><span>Am 14.06.2016 um 22:21 schrieb Andreas Pothe:</span><br></blockquote><blockquote type="cite"><blockquote type="cite"><span>Hallo,</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span></span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span></span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Am 14.06.2016 um 21:45 schrieb <a href="mailto:sebastian@debianfan.de">sebastian@debianfan.de</a>:</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><blockquote type="cite"><span>Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: cannot get RSA</span><br></blockquote></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><blockquote type="cite"><span>private key from file /etc/ssl/private/xn--deiner-dta.de.key.priv:</span><br></blockquote></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><blockquote type="cite"><span>disabling TLS support</span><br></blockquote></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><blockquote type="cite"><span>Jun 14 21:29:11 debian postfix/smtpd[1353]: warning: TLS library</span><br></blockquote></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><blockquote type="cite"><span>problem: error:0B080074:x509 certificate</span><br></blockquote></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><blockquote type="cite"><span>routines:X509_check_private_key:key values mismatch:x509_cmp.c:341:</span><br></blockquote></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span></span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span>Das dürfte der Fehler sein!</span><br></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><span></span><br></blockquote></blockquote><blockquote type="cite"><span></span><br></blockquote></div></blockquote></body></html>