[Postfixbuch-users] TLS Verbindung abgelehnt - Zertifikat kann nicht verifiziert werden
Patrick Ben Koetter
p at state-of-mind.de
Di Jun 21 14:32:48 CEST 2005
* Ties Dethlefs <dethlefs at schaefer-mafo.de>:
> Hallo,
>
> TLS verschlüsselte Mails von einem bestimmten Provider an mich werden
> mit folgender Fehlermeldung abgelehnt:
> #####
> smtp[12720]: SSL_accept:SSLv3 flush data
Das ist DEIN client "smtp", der sich beschwert und nicht der, des Providers
oder hat er Dir einen Log-Auszug zur Verfügung gestellt?
Das sollten wir erst einmal klären, sonst sind alle Debug-Versuche umsonst.
p at rick
> smtp[12720]: read from 0811F3F0 [08128A10] (5 bytes => -1 (0xFFFFFFFF))
> smtp[12720]: SSL_accept:error in SSLv3 read client certificate A
> smtp[12720]: SSL_accept:error in SSLv3 read client certificate A
> smtp[12720]: read from 0811F3F0 [08128A10] (5 bytes => 5 (0x5))
> smtp[12720]: 0000 15 03 01 00 02 .....
> smtp[12720]: read from 0811F3F0 [08128A15] (2 bytes => -1 (0xFFFFFFFF))
> smtp[12720]: SSL_accept:error in SSLv3 read client certificate A
> smtp[12720]: read from 0811F3F0 [08128A15] (2 bytes => 2 (0x2))
> smtp[12720]: 0000 02 30 .0
> smtp[12720]: SSL3 alert read:fatal:unknown
> smtp[12720]: SSL_accept:failed in SSLv3 read client certificate A
> smtp[12720]: SSL_accept error 0
> smtp[12720]: 12720:error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1
> alert unknown ca:s3_pkt.c:956:SSL alert number 48:
> smtp[12720]: disconnect from mail.mmmmmm.com[xxx.xxx.xxx.xxx]
> ####
> Anscheinend kennt er also meine CA nicht. Mein Zertifikat ist allerdings
> von Globalsign und diese CA sollte bekannt sein.
>
> Hier habe ich mal mit s_client meinen Server getestet und für mich sieht
> der Output gut aus:
>
> ####
> openssl s_client -showcerts -cert /etc/ssl/certs/mailserver.pem -key
> /etc/ssl/private/mailserver.key -starttls smtp -CApath /etc/ssl/certs/
> -connect mail.schaefer-mafo.de:25
>
>
> CONNECTED(00000003)
> depth=3 /C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
> verify return:1
> depth=2 /C=BE/O=GlobalSign nv-sa/OU=Primary Secure Server
> CA/CN=GlobalSign Primary Secure Server CA
> verify return:1
> depth=1 /C=BE/O=GlobalSign nv-sa/OU=ServerSign CA/CN=GlobalSign
> ServerSign CA
> verify return:1
> depth=0 /C=DE/ST=Hamburg/L=Hamburg/O=Schaefer Marktforschung
> GmbH/OU=Mailserver/CN=mail.schaefer-mafo.de/emailAddress=email at schaefer-mafo.de
>
>
> verify return:1
> ---
> Certificate chain
> 0 s:/C=DE/ST=Hamburg/L=Hamburg/O=Schaefer Marktforschung
> GmbH/OU=Mailserver/CN=mail.schaefer-mafo.de/emailAddress=email at schaefer-mafo.de
>
>
> i:/C=BE/O=GlobalSign nv-sa/OU=ServerSign CA/CN=GlobalSign ServerSign CA
> -----BEGIN CERTIFICATE-----
> MIIDmzCCAoOgAwIBAgILAQAAAAABAev4tvkwDQYJKoZIhvcNAQEFBQAwYzELMAkG
> A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExFjAUBgNVBAsTDVNl
> cnZlclNpZ24gQ0ExITAfBgNVBAMTGEdsb2JhbFNpZ24gU2VydmVyU2lnbiBDQTAe
> Fw0wNTAyMDcwODM5MDBaFw0wNjAyMjcxMTQ0MzlaMIG0MQswCQYDVQQGEwJERTEQ
> MA4GA1UECBMHSGFtYnVyZzEQMA4GA1UEBxMHSGFtYnVyZzElMCMGA1UEChMcU2No
> YWVmZXIgTWFya3Rmb3JzY2h1bmcgR21iSDETMBEGA1UECxMKTWFpbHNlcnZlcjEe
> MBwGA1UEAxMVbWFpbC5zY2hhZWZlci1tYWZvLmRlMSUwIwYJKoZIhvcNAQkBFhZl
> bWFpbEBzY2hhZWZlci1tYWZvLmRlMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKB
> gQDYq2jJrS67Aw/+6uWnoB87toFbbdsAQmo5kH9KGUo8J/67oo+IC94zNuzRBhdZ
> V3OTRjz1e5JdfzSyDrxAv7GzC2TeFgw6cTJ0MO7f2nX4lC2JGDf8hAj2e+9eI9DP
> gR4O3wm+Qoxdb3YZzbSc+8oE/1vuuLmTsXKjTqVcj9oZFQIDAQABo4GBMH8wEQYJ
> YIZIAYb4QgEBBAQDAgbAMA4GA1UdDwEB/wQEAwIE8DAfBgNVHSMEGDAWgBRIu6i/
> W4TSV0jkYemRIJHYHSXffzA5BgNVHR8EMjAwMC6gLKAqhihodHRwOi8vY3JsLmds
> b2JhbHNpZ24ubmV0L1NlcnZlclNpZ24uY3JsMA0GCSqGSIb3DQEBBQUAA4IBAQAh
> vnPa/qp8HG/truBmNjvMnZXv/9q1AHyqK719NMNmnawztgC5lzj1CtzNyPFFAb24
> QyJhh8hx7M8eBelAhs/4cKEF2I0FgnX/cvIvprI24sMJaU1k/WA4a3lG/MVNtyQt
> RxQI0FHanoiKYyHNgqkFCrklZXSmWuyjdszBAV6QNR4PnzxpkGd4oYlFEZI9Gx1/
> Dpu3VJqBmbpP6PV9tdIUEyA/R8w7XXk9EDGINu0qqUUgfa58B7Cwuyi4Cvyi8uhx
> NFlB+uCgovhmxqwES8vf/neQoFNRaRWMZMQfpq/jwLwfWdyIBqQhR7fVWK3sxiTw
> S7EaQppJSmvdAxylEBrq
> -----END CERTIFICATE-----
> 1 s:/C=BE/O=GlobalSign nv-sa/OU=ServerSign CA/CN=GlobalSign ServerSign CA
> i:/C=BE/O=GlobalSign nv-sa/OU=Primary Secure Server CA/CN=GlobalSign
> Primary Secure Server CA
> -----BEGIN CERTIFICATE-----
> MIIEFzCCAv+gAwIBAgILBAAAAAAA+j3u8fcwDQYJKoZIhvcNAQEFBQAweTELMAkG
> A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExITAfBgNVBAsTGFBy
> aW1hcnkgU2VjdXJlIFNlcnZlciBDQTEsMCoGA1UEAxMjR2xvYmFsU2lnbiBQcmlt
> YXJ5IFNlY3VyZSBTZXJ2ZXIgQ0EwHhcNMDQwMTIyMDkwMDAwWhcNMDkwMTI4MTEw
> MDAwWjBjMQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEW
> MBQGA1UECxMNU2VydmVyU2lnbiBDQTEhMB8GA1UEAxMYR2xvYmFsU2lnbiBTZXJ2
> ZXJTaWduIENBMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0dkNqei/
> yW/6JO5Wc7YT0C4NnfG/7TxWnxjFjMkdi2adIiSYRJmYkKyY7VKVYAjSIdpOelaO
> cjfkWiLKYUVa+Bznik0EASFwGcWh12YgscLaFwaPINsO0EbU77Akx+ObdvXJwtIE
> CSL8sGX/bPbWKZdjJQjtkNaK/IkHvazrAxZjeuqj+IKGdFT3dabWXLKkqqx/s3C8
> TiXHW8YDXaqxteXa+CzXsTI9dPm6C9PQ5wMaZFc7bMOxi3jiA9CVt4Scb/VRWRWB
> 86UxBpD5Aw0Wg9g4RrfG3vJbec5q6NU4gGINHDQJOj3ZoZmbWk6EVm22jH3sHa5I
> aW84jH70y+nX7QIDAQABo4G1MIGyMA4GA1UdDwEB/wQEAwIBBjASBgNVHRMBAf8E
> CDAGAQH/AgEAMB0GA1UdDgQWBBRIu6i/W4TSV0jkYemRIJHYHSXffzA5BgNVHR8E
> MjAwMC6gLKAqhihodHRwOi8vY3JsLmdsb2JhbHNpZ24ubmV0L3ByaW1zZXJ2ZXIu
> Y3JsMBEGCWCGSAGG+EIBAQQEAwIBBjAfBgNVHSMEGDAWgBTRZoP1iV7Qvn9h0t2o
> yvorekp/MTANBgkqhkiG9w0BAQUFAAOCAQEAdIs/jWYFXPgrIoFxgWYlmB/bIYgW
> j+tEJz1/EhGMjjw39MvTnJbkn2uWR1/WqHhyIbzqUicSuvviSF5RaXXWLa+jnTJs
> NVr919mn+ZDVWVIrEU8cSKBk1jyIZf8llWpPiUpvm9Hc4uX92OkLZ/+1O1FcH+pL
> 1uKY5wBJIIb2MQtjVMyyd4mCWU2tbkhfoNUloQ0GLgyO7s5UIkSb2qOnu2CM1MUM
> yZID1pUwtGEEg9ML8f5meoV6Az9/j10Th3ATAesxUm6rdTtVv8M01HJAp/ci3afx
> gBUJ3u3jI0/iECxASuFVG3v4S+5FO50rhxlhZ6ghcmqZgQ7HTun7TJoNTQ==
> -----END CERTIFICATE-----
> ---
> Server certificate
> subject=/C=DE/ST=Hamburg/L=Hamburg/O=Schaefer Marktforschung
> GmbH/OU=Mailserver/CN=mail.schaefer-mafo.de/emailAddress=email at schaefer-mafo.de
>
>
> issuer=/C=BE/O=GlobalSign nv-sa/OU=ServerSign CA/CN=GlobalSign
> ServerSign CA
> ---
> No client certificate CA names sent
> ---
> SSL handshake has read 2627 bytes and written 342 bytes
> ---
> New, TLSv1/SSLv3, Cipher is EDH-RSA-DES-CBC3-SHA
> Server public key is 1024 bit
> SSL-Session:
> Protocol : TLSv1
> Cipher : EDH-RSA-DES-CBC3-SHA
> Session-ID:
> 743659605DB78D2D243E5ADCAC845CB784933B8B2EBA5F6D7EBDC9DC83FFBB52
> Session-ID-ctx:
> Master-Key:
> C161538056CE9500ECA8D2A74E6CED8B8F4F9CEBD9783C69838579888779127852F3786D8B6872065052174A398C8603
>
>
> Key-Arg : None
> Start Time: 1119279430
> Timeout : 300 (sec)
> Verify return code: 0 (ok)
> ---
> 220 mail.schaefer-mafo.de ESMTP Postfix on SuSE eMail Server 2.0
> ####
> Ist eine ziemlich alte Postfix Version (20001005) die demnächst auf
> einen aktuellen Stand gebracht wird. Könnte es daran liegen?
> TLS verschlüsselte Mails von anderen Providern ( z.B. Web.de ) kann ich
> empfangen, aber es kann auch sein das diese auch ohne gültige CA
> zufrieden sind.
>
>
> --
> Mit freundlichen Grüßen
>
> Ties Dethlefs
>
>
>
> --
> _______________________________________________
> Postfixbuch-users mailingliste
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
--
The Book of Postfix
<http://www.postfix-book.com>
SMTP AUTH debug utility:
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
Mehr Informationen über die Mailingliste Postfixbuch-users