<!DOCTYPE html>

<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <blockquote><font face="Linux Biolinum">Hi Markus,<br>

        <br>

        ich schreib dir mal so damit der Kreis etwas kleiner ist.<br>

        <br>

        Die Domain heißt anarchydica.net und ist soweit nicht

        geheimnisvoll, nur soll die Konfiguration so weit wie möglich

        unbekannt bleiben.<br>

        Ich gehe zwar nicht davon aus, dass es jemand was nützt. Aber

        man weiß ja nie. Auch leider nie wer still mitliest.<br>

        <br>

        Ich hoffe ich nerve dich jetzt nicht zu sehr.<br>

        <br>

        Das ist die Ausgabe:<br>

        echo QUIT | openssl s_client -connect mail.anarchydica.net:993<br>

        <br>

        CONNECTED(00000003)<br>

        depth=0 CN = anarchydica.net<br>

        verify error:num=20:unable to get local issuer certificate<br>

        verify return:1<br>

        depth=0 CN = anarchydica.net<br>

        verify error:num=21:unable to verify the first certificate<br>

        verify return:1<br>

        depth=0 CN = anarchydica.net<br>

        verify return:1<br>

        ---<br>

        Certificate chain<br>

         0 s:CN = anarchydica.net<br>

           i:C = US, O = DigiCert Inc, OU = <a class="moz-txt-link-abbreviated" href="http://www.digicert.com">www.digicert.com</a>, CN =

        Thawte TLS RSA CA G1<br>

           a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256<br>

           v:NotBefore: Jun 28 00:00:00 2024 GMT; NotAfter: Jun 27

        23:59:59 2025 GMT<br>

        ---<br>

        Server certificate<br>

        -----BEGIN CERTIFICATE-----<br>

        MIIGJzCCBQ+gAwIBAgIQBklP6vPUhUt+tmcHSxIxczANBgkqhkiG9w0BAQsFADBe<br>

        MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3<br>

        d3cuZGlnaWNlcnQuY29tMR0wGwYDVQQDExRUaGF3dGUgVExTIFJTQSBDQSBHMTAe<br>

        Fw0yNDA2MjgwMDAwMDBaFw0yNTA2MjcyMzU5NTlaMBoxGDAWBgNVBAMTD2FuYXJj<br>

        aHlkaWNhLm5ldDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKzX9Q6n<br>

        wLz5UkF14D/NlcokKgMTQPt/qOz//VZbH5AFZiMajyWCpzA8UJzQUVEqlATICUzN<br>

        /DQLHEKeoSi1vPG50FzXC6z/TvKhfrGRKYUSCWqvDsoZR8sTbBBA+HSA0LWNXa3S<br>

        +ZH7qaIb2Gkc1HamIDksp4o69G1mKuhmaQzbEIyAurj6oi8KYPxXWcLvsBIzlthh<br>

        ap+nDidCOswffEd4TwEbiMimi2ZP8MsN7vnv75Vn79RcqLlmuTeZvuxQNOjgVLzK<br>

        AvCmFfmmly7rjKjSMKQVXN7Xdwxty1tdCgGxWSRtrRMDrFxOgjKjKhBKYS7D18m4<br>

        dA8Q/GtR/zMcomkCAwEAAaOCAyMwggMfMB8GA1UdIwQYMBaAFKWM/jLM6w8s1BnG<br>

        CLgAJIhdw8W3MB0GA1UdDgQWBBR5zPd/EhSmoS9MSFO7CpzsEU94ZDAvBgNVHREE<br>

        KDAmgg9hbmFyY2h5ZGljYS5uZXSCE3d3dy5hbmFyY2h5ZGljYS5uZXQwPgYDVR0g<br>

        BDcwNTAzBgZngQwBAgEwKTAnBggrBgEFBQcCARYbaHR0cDovL3d3dy5kaWdpY2Vy<br>

        dC5jb20vQ1BTMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBggrBgEFBQcDAQYI<br>

        KwYBBQUHAwIwOwYDVR0fBDQwMjAwoC6gLIYqaHR0cDovL2NkcC50aGF3dGUuY29t<br>

        L1RoYXd0ZVRMU1JTQUNBRzEuY3JsMHAGCCsGAQUFBwEBBGQwYjAkBggrBgEFBQcw<br>

        AYYYaHR0cDovL3N0YXR1cy50aGF3dGUuY29tMDoGCCsGAQUFBzAChi5odHRwOi8v<br>

        Y2FjZXJ0cy50aGF3dGUuY29tL1RoYXd0ZVRMU1JTQUNBRzEuY3J0MAwGA1UdEwEB<br>

        /wQCMAAwggF+BgorBgEEAdZ5AgQCBIIBbgSCAWoBaAB2AE51oydcmhDDOFts1N8/<br>

        Uusd8OCOG41pwLH6ZLFimjnfAAABkF9iz/oAAAQDAEcwRQIhAK3GRgFaXBK9NJa9<br>

        112AID9tqa/JfcT4Hj8+uHMbidhzAiAeVeZd/wWx0nD3AaGm9iC7n0/3sXlkxFv4<br>

        ctn//KL9vQB2AH1ZHhLheCp7HGFnfF79+NCHXBSgTpWeuQMv2Q6MLnm4AAABkF9i<br>

        z3MAAAQDAEcwRQIhAJRESddZ9cAEk3ku5g+YR7g3WKye/6BJcqQtbO7G+l82AiAl<br>

        wOT7dCK1iaHDzmHnWmJKEhO1j88qrRMeObsi+hoBfAB2AObSMWNAd4zBEEEG13G5<br>

        zsHSQPaWhIb7uocyHf0eN45QAAABkF9iz4IAAAQDAEcwRQIgYT43kMt6/E3R37e8<br>

        E6S4+gpo1ImNtsvw9cI1M/Vr5xkCIQDR2oBwHIwShKuBvwUAELWnd4FoBCu7IJo/<br>

        eNoXNupmNDANBgkqhkiG9w0BAQsFAAOCAQEAXMpzMW1y4uUfIRaGrY3unpuXngjs<br>

        TNzkuq51Qh6ORXoHSNRqjh2BycbrI1SNH7Iqdg0/27U+yTtc0JtY8l9D9Zin+cCg<br>

        SFdHCUo+apqYb9fF8NoYj/n98SikXposmlYX61qhRrfcUU87u7AxzuZVxD4lxliH<br>

        O4jZdmngaYlLPUwfaFQhoht3cPSchX8tTGUR8apcTPXmgKcptXI3VIhBM8fmtXUA<br>

        VzIpRK8ghzWz34v6kiaYUMjKTfATAGCYMPCvbpFuRipUnFPpuWYqiYFvd4guF3o6<br>

        4S3WYPx5xyW+EEPTjEuCmuFvgsX8Oo0MXL8qMgCpcmU2L8cvGtao+ml22g==<br>

        -----END CERTIFICATE-----<br>

        subject=CN = anarchydica.net<br>

        issuer=C = US, O = DigiCert Inc, OU = <a class="moz-txt-link-abbreviated" href="http://www.digicert.com">www.digicert.com</a>, CN =

        Thawte TLS RSA CA G1<br>

        ---<br>

        No client certificate CA names sent<br>

        Peer signing digest: SHA256<br>

        Peer signature type: RSA-PSS<br>

        Server Temp Key: X25519, 253 bits<br>

        ---<br>

        SSL handshake has read 2139 bytes and written 406 bytes<br>

        Verification error: unable to verify the first certificate<br>

        ---<br>

        New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384<br>

        Server public key is 2048 bit<br>

        Secure Renegotiation IS NOT supported<br>

        Compression: NONE<br>

        Expansion: NONE<br>

        No ALPN negotiated<br>

        Early data was not sent<br>

        Verify return code: 21 (unable to verify the first certificate)<br>

        ---<br>

        DONE<br>

      </font><br>

      <br>

      <font face="Linux Biolinum">Best,<br>

        <br>

      </font></blockquote>

    <div class="moz-cite-prefix">Am 07.09.24 um 18:09 schrieb Markus

      Winkler via Postfixbuch-users:<br>

    </div>

    <blockquote type="cite"

      cite="mid:7b6d900c-5cf7-4aad-b833-dcf37457ec13@irmawi.de">Hallo

      Nico,

      <br>

      <br>

      On 07.09.24 17:45, Nico Funke via Postfixbuch-users wrote:

      <br>

      <blockquote type="cite">

        <br>

            Ich habe mit dem Befehl, dass .pem generiert und hinterlegt.

        <br>

        <br>

            Dann habe ich mit und ohne der Option "local_name" das ganze

        getestet.

        <br>

            Hat leider nicht funktioniert.

        <br>

      </blockquote>

      <br>

      local_name benötigst Du nur dann, wenn Du mehrere SSL-Certs auf

      derselben IP-Adresse nutzen willst.

      <br>

      <br>

      <blockquote type="cite">    Ich habe sicherheitshalber, wegen dem

        SNA (Subject Alternative Name)

        <br>

            was du angesprochen hast geschaut.

        <br>

            Es ist die die entsprechende Domain und noch die www Version

        vorhanden.

        <br>

      </blockquote>

      <br>

      Schade, dass Du sie leider nicht nennen magst ...

      <br>

      <br>

      Hast Du denn mit openssl s_client ... mal getestet, ob nun die

      komplette Cert-Chain angezeigt wird?

      <br>

      <br>

      Und ebenfalls entscheidend ist: Was trägst Du denn als Servername

      bei Deinem Thunderbird ein? Diesen Punkt hatte ich ja vorhin schon

      als mögliche Fehlerquelle angesprochen. Da rätseln "wir" aber

      weiterhin herum.

      <br>

      <br>

      <blockquote type="cite">    Bist du jedoch sicher das ich das .pem

        under "ssl_cert" und nicht unter

        <br>

            "ssl_ca" hinterlegen sollte?

        <br>

      </blockquote>

      <br>

      Ja, da bin ich mir sicher. ;-)

      <br>

      <br>

<a class="moz-txt-link-freetext" href="https://doc.dovecot.org/2.3/configuration_manual/dovecot_ssl_configuration/#chained-ssl-certificates">https://doc.dovecot.org/2.3/configuration_manual/dovecot_ssl_configuration/#chained-ssl-certificates</a>

      <br>

      <br>

      Viele Grüße

      <br>

      Markus

      <br>

      <br>

    </blockquote>

    <br>

  </body>

</html>